Μέρος του καναλιού διανομής του botnet Dridex παραβιάστηκε από άγνωστο που αντικατέστησε τα Trojans με εγκαταστάτες του Avira Antivirus!
Το botnet Dridex παραμένει μια ενεργή απειλή, ακόμη και μετά από μια απόπειρα κατάργησης του στα τέλη του 2015.
Ο κακόβουλος κώδικας που διανέμεται από το Dridex έρχεται συνήθως με τη μορφή spam μηνυμάτων που περιέχουν κακόβουλα συνημμένα αρχεία. Τα αρχεία που χρησιμοποιούνται συχνότερα, είναι τα έγγραφα του Word με ενσωματωμένες κακόβουλες μακροεντολές.
Μόλις το θύμα ανοίξει το αρχείο, οι μακροεντολές κατεβάζουν το κακόβουλο λογισμικό από κάποιον απομακρυσμένο διακομιστή. To Dridex δημιουργεί ένα keylogger σε μολυσμένους υπολογιστές, και χρησιμοποιώντας διαφανείς ανακατευθύνσεις και webinjects καταφέρνει να υποκλέψει κωδικούς από τραπεζικές ιστοσελίδες.
Όμως το πρόσφατο hack στο botnet έγινε για πολύ διαφορετικούς σκοπούς.
“Το URL λήψης του κακόβουλου λογισμικού έχει αντικατασταθεί, με link που οδηγεί έναν ενημερωμένο εγκαταστάτη του Avira antivirus,” εξήγησε ο Moritz Kroll, malware εμπειρογνώμονας της Avira.
Έτσι αντί του malware τα θύματα κατεβάζουν ένα έγκυρο, υπογεγραμμένο αντίγραφο του λογισμικού προστασίας της Avira.
“Δεν γνωρίζουμε ακριβώς ποιος το έκανε και γιατί – αλλά έχουμε κάποιες θεωρίες”, δήλωσε ο Kroll.
Μια πιθανή εξήγηση είναι ότι κάποιος White Hat hacker κατάφερε να αναλάβει τα συστήματα ελέγχου του botnet, και άλλαξε τα κακόβουλα URL με αυτά της Avira.
