Botnet Dridex żyje i… rozprowadza oprogramowanie antywirusowe

Strona główna Aktualności
image

O autorze

Dridex to botnet, którym zarządzać miała grupa hakerów ze wschodniej Europy wykorzystujących sieć do pozyskiwania danych logowania do kont bankowych. Według przedstawicieli FBI, botnet miał z ich inicjatywy zakończyć działalność jeszcze w zeszłym roku. Jak się jednak okazuje, sieć wciąż funkcjonuje, jednak zamiast rozprowadzać malware i keyloggery… instaluje na „zainfekowanych” komputerach oprogramowanie antywirusowe.

Sieć jest także znana pod nazwami Cridex czy Bugat. W praktyce służyła ona hakerom do rozsyłania maili zawierających załączniki w postaci dokumentów pakietu biurowego Microsoft Office. Po pobraniu i uruchomieniu załącznika przez użytkownika, makro zawarte w dokumencie pobierało i instalowało keyloggery. Te zaś przejmowały dane logowania do serwisów bankowych. Nie jest dokładnie znana liczba osób, które zostały w ten sposób okradzione, niemniej o skuteczności, mimo wykorzystania umiarkowanie wymyślnych metod, może świadczyć zaangażowanie w sprawę FBI.

Jak się jednak okazuje, agencja ogłosiła koniec botnetu stanowczo przedwcześnie. Dziś bowiem znów rozsyła on maile. Dzięki zbliżonym metodom, instalowane jest jednak nie oprogramowania wykradające dane, a w pełni legalne kopie darmowego pakietu antywirusowego Avira. Sam sposób instalacji jest dokładnie taki sam: w makrach w plikach-załącznikach podmieniony został tylko adres, który kieruje teraz do instalatora Aviry.

Dla The Register komentarza w tej sprawie udzielił Moritz Kroll z działu malware Aviry. Oczywiście zdementował on jakiekolwiek plotki dotyczące tego, że za nietypową akcją hakerów w białych kapeluszach ma stać sam producent oprogramowania. Aktualnie największa zagwozdkę w całej sprawie stanowi… motywacja osób posiadających kontrolę nad Drideksem. Nic nie wskazuje bowiem na fakt, aby czerpali oni z dystrybucji programu jakiekolwiek korzyści.

© dobreprogramy