In der E-Mail ist ein Word-Attachment enthalten, das den eingebauten Makrocode verwendet, um eine Kopie des Trojaners herunterzuladen und auszuführen. Laut den Experten von Palo Alto Networks ist Dridex die neueste Version des Bugat-/Feodo/Cridex-Banking-Trojaners. Seine Kernfunktion besteht darin, Anmeldeinformationen von Online-Banking-Websites zu stehlen und diese in krimineller Absicht zu verwenden, um Überweisungen zu initiieren und Fonds zu stehlen. Ziel von Dridex sollen Banken weltweit sein, die jüngsten Angriffe sollen jedoch speziell auf Europa gerichtet gewesen sein, so die Experten von Palo Alto Networks.
Bereits im Oktober hatte Palo Alto Networks sechs URLs identifiziert, die von den Word-Dokumenten verwendet werden, um den Dridex-Trojaner herunter zu laden. In den vergangenen zwei Wochen wurden nun jedoch Dateien mit immerhin 43 verschiedenen Download-Adressen identifiziert.
Viele dieser URLs werden auf kompromittierten Webseiten vorgehalten, aber es gibt kein klares Muster, um anzuzeigen, wie sie die Kontrolle über die Websites übernehmen. Allerdings gibt es klare Gruppierungen von Mustern für die Download-URLs. Eine Gruppe stützt sich auf den Pfad /js/bin.exe, während eine andere mops/pops.php verwendet. Diese URLs werden innerhalb der in jeder Datei enthalten Makros kodiert. Palo Alto Networks stellt online eine Komplettübersicht der URLs zur Verfügung.
Bereits im Oktober hatte Palo Alto Networks sechs URLs identifiziert, die von den Word-Dokumenten verwendet werden, um den Dridex-Trojaner herunter zu laden. In den vergangenen zwei Wochen wurden nun jedoch Dateien mit immerhin 43 verschiedenen Download-Adressen identifiziert.
Viele dieser URLs werden auf kompromittierten Webseiten vorgehalten, aber es gibt kein klares Muster, um anzuzeigen, wie sie die Kontrolle über die Websites übernehmen. Allerdings gibt es klare Gruppierungen von Mustern für die Download-URLs. Eine Gruppe stützt sich auf den Pfad /js/bin.exe, während eine andere mops/pops.php verwendet. Diese URLs werden innerhalb der in jeder Datei enthalten Makros kodiert. Palo Alto Networks stellt online eine Komplettübersicht der URLs zur Verfügung.
