Dridex: "Hacked" na Botnet Favorece Propagação de Arquivo Fictício

Alguém está manipulando os botmasters do Dridex. O botnet em questão, ou pelo menos uma ou mais das suas subnets, estão enviando e-mail de spam para entregar o já conhecido e perigoso ransomware Locky; ele foi comprometido novamente, e tem estado trabalhando incessantemente na distribuição de um arquivo fictício ao invés da entrega do malware. Isso poderia envolver atividades de White Hackers ou cyberriminosos rivais, mas a mensagem é clara - a carga, que trata-se de um binário de 12kb, carrega duas palavras simples: "Stupid Locky". O arquivo fictício não faz absolutamente nada, porque ele não pode. Esse comprometimento do servidor que hospeda o conteúdo malicioso, foi descoberto por pesquisadores da Avira, depois de terem recebido um e-mail típico transportando um anexo JavaScript cujo propósito é fazer o download do malware. De acordo com Sven Carlsen, não há como acreditar que os cybercriminosos tivessem iniciado esta operação, por causa do dano potencial para a sua reputação. Entretanto, após os exemplos de Dridex e agora o ransomware Locky, mostra que mesmo os cybercriminosos, mestres da camuflagem, também são vulneráveis.


O botnet Dridex recebeu esse nome porque, inicialmente, entregou exclusivamente o malware Dridex. Em fevereiro de 2016, no entanto, uma das suas subnets começou a enviar spam e-mail para entregar o downloader Bartallex, que, em seguida, baixou o cripto ransomware Locky. Ressaltando que depois do perigoso CryptoWall, Locky é o ransomware mais prevalente no momento.


Saiba Mais:

[1] Help Net Security https://www.helpnetsecurity.com/2016...botnet-hacked/