Bei Dridex handelt es sich um einen Trojaner, der seit 2014 bekannt ist, zwischenzeitlich verschwunden war und nun mit kleinen, aber gezielteren, Kampagnen deutschsprachige Nutzer angreift.
Anzeige
Zu Dridex hatte ich diverse Blog-Beiträge veröffentlicht (siehe z.B. Ausgefeilte Makros verbreiten Dridex-Trojaner). Im Februar 2016 steckten die Dridex-Akteure auch hinter der Locky Ransomware-Kampagne. Irgendwann schien es dann, als wären die Botnets, die Dridex ausrollen, abgeschaltet (siehe und hier).
Nun berichten die Sicherheitsforscher von Proofpoint, das Dridex zurück sei, nun aber kleinere Kampagnen, dafür aber gezielt auf spezielle Nutzergruppen durchführe. Im Juli und August 2016 wurden eine Reihe sehr kleiner Kampagnen mit Dridex-Anhängen verzeichnet, deren Mitteilungsvolumen vom einstelligen Bereich bis zu jeweils einigen Tausenden Mitteilungen variierte. Am 15. und 16. August wurden dann in der größten beobachteten Kampagne seit Mitte Juni Zehntausende von Mitteilungen verbreitet, die sich vor allem an Finanzdienstleister und Herstellungsunternehmen richteten.
(Quelle: Proofpoint)
Die Kampagne vom August richtet sich an englischsprachige Nutzer und adressierte Konfigurationen für Banking-Websites in Großbritannien, Australien, Frankreich und den USA. Die zur Verbreitung des Botnets verwendeten E-Mails enthielten als Anhang Word-Dateien mit Makros (.docm-Dateien).
Anzeige
(Quelle: Proofpoint)
Auch am 11. August 2016 gab es eine Kampagne mit einem Word-Dokument als Anhang, welches sich an deutschsprachige Nutzer in der Schweiz richtete. Die in dieser Kampagne verwendeten Mitteilungen trugen als Betreff den Titel „Lieferung", in Verbindung mit verschiedenen Anhangsnamen, darunter zum Beispiel „rechnung11Aug.docm".
(Quelle: Proofpoint)
Proofpoint beschreibt im Blog-Beitrag eine Reihe weiterer Angriffe. Interessant ist, dass der Umfang der Kampagnen abnimmt. Aber die Individualisierung nimmt zu. Hier gilt es, die Mitarbeiter und Nutzer zu sensibilisieren, keine Anhänge von E-Mails zu öffnen, wenn nicht klar ist, das diese unschädlich sein.
Anzeige