Die Akteure, die aktuell hinter Dridex stehen, greifen auf Microsoft-Word-Dateien (.doc) mit eingebetteten Makros zurück, wie es bereits Anfang des Jahres der Fall war. Mit dem Bartalex-Kit, einer der Lieblingsbaukästen für viele Internetkriminelle, werden diese Makros erstellt, um bösartigen Inhalt zu transportieren. Wenn ein Benutzer das schädliche Dokument öffnet, greift der Makrocode auf eine URL zu und lädt die ausführbare Dridex-Datei herunter.
Derzeit erkennen nur 17 von 56 Virustotal-AV-Scannern die Doc-Dateien, die dem Wiederaufleben von Dridex zugerechnet werden, als bösartig. Nur zwei Anti-Virus-Scanner erkennen zudem den bösartigen Inhalt der Datei. Die AutoFocus-Plattform von Palo Alto Networks identifiziert alle Komponenten dieser Bedrohung im Dridex Tag von Unit 42.
Die bösartigen Doc-Dateien, die identifiziert wurden, verwenden alle eine ähnliche Reihenfolge in ihrer Namenskonvention (z.B. "Order-SO00653333-1.doc"). Der Empfänger wir dazu aufgefordert, den Anhang auszudrucken. Obwohl diese Phishing-Ködertaktik nicht besonders anspruchsvoll ist, erweist sie sich nach wie vor als überraschend effektiv, um das Ziel der bösartigen Akteure zu erfüllen.
Cyberkriminelle, vor allem diejenigen, die es zu Wohlstand gebracht und sich langfristig etabliert haben, werden weiterhin Gefahren für Unternehmen und Heimanwender gleichermaßen darstellen. Dies wird sich so fortsetzen - trotz aller Rückschläge für die Cyberbanden als Folge von Verhaftungen oder operativen Herausforderungen. Auch wenn offenbar wichtige Akteure im Dridex-Team verhaftet worden sind, könnte die Organisation, die sie hinterlassen, sehr wohl in der Lage sein, vorerst aktiv zu bleiben. Anderenfalls warten andere kriminelle Gruppen ständig darauf, ein entstehendes Vakuum oder eine Gelegenheit zu nutzen. Das Wiederaufleben von Dridex im Oktober 2015 ist ein Beispiel dafür, wie Bedrohungen dieser Art sich anpassen und weiterentwickeln.