Троян Dridex использует новые техники обхода UAC
Исследователи компании Flashpoint обнаружили новую вредоносную кампанию с использованием известного банковского трояна Dridex. Для обхода контроля учетных записей пользователей (User Account Control, UAC) вредонос использует новые техники.
Dridex был впервые обнаружен в 2014 году, пик его активности пришелся на 2014-2015 годы, а в прошлом году исследователи фиксировали лишь небольшие операции с применением трояна. В ходе последней кампании против финансовых организаций Великобритании эксперты Flashpoint обнаружили используемую Dridex новую технику обхода UAC.
Как пояснили эксперты, для загрузки троян использует дефолтный исполняемый файл recdisc.exe для создания диска восстановления Windows. Для коммуникации с первой ступенью C&C-инфраструктуры Dridex теперь использует svchost и spoolsrv.
Вредонос распространяется с помощью фишинговых писем. Письма содержат документ Word со встроенными макросами, загружающими и выполняющими Dridex на системе жертвы. После заражения компьютера троян удаляет себя из текущего местоположения в папку %TEMP%.
Для обхода UAC вредонос создает директорию в WindowsSystem326886, а затем копирует легитимный код из WindowsSystem32recdisc.exe в WindowsSystem326886. Далее Dridex копирует себя в директорию %APPDATA%LocalTemp в виде файла tmp и добавляется в WindowsSystem326886SPP.dll. Вредонос удаляет wu*.exe ;и po*.dll из WindowsSystem32 , выполняет recdisc.exe и загружает себя как SPP.dll с привилегиями администратора.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш