НЕИЗВЕСТНЫЙ ВЗЛОМАЛ АВТОРОВ ТРОЯНА DRIDEX, ЗАСТАВИВ ИХ РАСПРОСТРАНЯТЬ АНТИВИРУС

05.02.2016 | 10:51
Ботнет Dridex, распространяющий одноименный банковский троян, оказался взломан неизвестным доброжелателем. Анонимный шутник заставил ботнет «заражать» пользователей антивирусом Avira.

Хотя в конце 2015 года ФБР провело операцию по прекращению деятельности ботнета Dridex, сеть все равно осталась на плаву и продолжила распространять малварь. Как правило, данный ботнет используется для рассылки спама. Письма содержат вредоносные вложения, в основном в виде документов Word с нехорошими маросами. Как только жертва открывает такой файл, срабатывает макрос, и с сервера злоумышленников скачивается пейлоуд. Проникнув в систему, Dridex создает за зараженной машине кейлоггер, а также использует невидимые редиректы и веб-инъекции для банковских сайтов.

«Вредоносный контент, загружающийся по URL злоумышленников, был заменен на оригинальную, самую свежую версию инсталлятора Avira (вместо обычного загрузчика Direx)», — рассказал один из экспертов Avira.
Таким образом, жертвы ботнета в последнее время получали не банковский троян, а актуальную, подписанную копию антивируса. В компании Avira сообщают, что им неизвестно, кто провернул этот трюк, и какие цели он преследовал. Свою причастность к инциденту разработчики антивируса опровергают.

«Какой-то whitehat мог проникнуть на зараженный веб-сервер, используя те же уязвимости, которые применяют сами авторы малвари. Он мог подменить их вредоносные штуки инсталлятором Avira», — строят теории разработчики, добавляя при этом, что подобные действия считаются противозаконными во многих странах мира.

Стоит отметить, что уже не первый подобный случай. Ранее инсталлятор Avira уже добавляли в состав вымогателей CryptoLocker и Tesla.
Вирусы, Avira, Direx, Банковские трояны, Взлом, Новости
По материалам xakep.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код