En rampete e-postkampanje har blitt avslørt i Storbritannia for å spre malware som knapt oppdaget av AV-verktøy. Angrepet er avhengig av en autentisk rettet selskap melding som informerer om en rettslig tvist med mottaker. Firmanavnet er tilfeldig valgt og er i harmoni med emnefeltet.
Attack Initiert av en Vedlagt MS Office Document
Hele prosessen er utformet slik at mottakeren lures til å åpne vedlagte Microsoft Word-dokument. Dokumentet inneholder en skadelig makro med kommandoer for å laste ned og kjøre en malware dropper.
Brukere bør være oppmerksom på at malware dropper er skjult som en GIF-bilde. Forskere har ennå ikke undersøkt VBScript (Visual Basic Scripting Edition, en aktiv skriptspråk) av makro men har oppdaget at det er en backup makro overført fra servere i Tyskland og Russland.
Ødelagte filen knapt synlig
Sikkerhetsforskere sier at den skadelige filen ble først oppdaget av kun 2 ut av 56 anti-malware verktøy. Deteksjonsfrekvensen har økt litt etter deretter.
Som for dropper ligne en GIF-bilde - det er lagret i en midlertidig mappe og er gjenkjennelig med navnet
dfsdfff.exe
Etter den skadelige filen er utført, en server i Tyskland blir kontaktet. Forskere mener at den endelige nyttelasten er en variant av den velkjente Dridex banktjenester Trojan. Den beryktede Trojan er også vanskelig å bli ‘fanget’ av AV-produkter.
Den Dridex Trojan har vært ganske aktiv i løpet av de siste par årene. I oktober 2014, 93 servere for Dridex kommunikasjon ble registrert, fire av dem funnet i Russland.