Botnet Dridex żyje i… rozprowadza oprogramowanie antywirusowe

Dridex to botnet, którym zarządzać miała grupa hakerów ze wschodniej Europy wykorzystujących sieć do pozyskiwania danych logowania do kont bankowych. Według przedstawicieli FBI, botnet miał z ich inicjatywy zakończyć działalność jeszcze w zeszłym roku. Jak się jednak okazuje, sieć wciąż funkcjonuje, jednak zamiast rozprowadzać malware i keyloggery… instaluje na „zainfekowanych” komputerach oprogramowanie antywirusowe.

Sieć jest także znana pod nazwami Cridex czy Bugat. W praktyce służyła ona hakerom do rozsyłania maili zawierających załączniki w postaci dokumentów pakietu biurowego Microsoft Office. Po pobraniu i uruchomieniu załącznika przez użytkownika, makro zawarte w dokumencie pobierało i instalowało keyloggery. Te zaś przejmowały dane logowania do serwisów bankowych. Nie jest dokładnie znana liczba osób, które zostały w ten sposób okradzione, niemniej o skuteczności, mimo wykorzystania umiarkowanie wymyślnych metod, może świadczyć zaangażowanie w sprawę FBI.

Jak się jednak okazuje, agencja ogłosiła koniec botnetu stanowczo przedwcześnie. Dziś bowiem znów rozsyła on maile. Dzięki zbliżonym metodom, instalowane jest jednak nie oprogramowania wykradające dane, a w pełni legalne kopie darmowego pakietu antywirusowego Avira. Sam sposób instalacji jest dokładnie taki sam: w makrach w plikach-załącznikach podmieniony został tylko adres, który kieruje teraz do instalatora Aviry.

Dla The Register komentarza w tej sprawie udzielił Moritz Kroll z działu malware Aviry. Oczywiście zdementował on jakiekolwiek plotki dotyczące tego, że za nietypową akcją hakerów w białych kapeluszach ma stać sam producent oprogramowania. Aktualnie największa zagwozdkę w całej sprawie stanowi… motywacja osób posiadających kontrolę nad Drideksem. Nic nie wskazuje bowiem na fakt, aby czerpali oni z dystrybucji programu jakiekolwiek korzyści.