Μερικά strains του Bartalex malware, ένα macro-based malware το οποίο έκανε την εμφάνισή του νωρίτερα μέσα στο χρόνο, πρόσφατα ανιχνεύθηκε να μοιράζει το Pony loader malware και το τραπεζικό Trojan Dyre. Διαδίδεται κυρίως μέσω spam, τα πρώτα ίχνη του Bartalex παρατηρήθηκαν τον Μάρτιο ενσωματωμένα σε μακροεντολές των Microsoft Word και Excel.
Οι μακροεντολές (Macros) είναι μια δημοφιλής πηγή μόλυνσης για παραπάνω από μια δεκαετία, αλλά όπως συμβαίνει κατά κόρον με τα malware, ό,τι παλιό γνωρίζουμε τελικά γίνεται εκ νέου καινούργιο. Το κέντρο προστασίας της Microsoft ( Malware Protection Center) έλαβε υπόψη τον συναγερμό για την αύξηση των επιθέσεων και την ανησυχητική άυξηση των απειλών μέσω των μακροεντολών μόλις τον Ιανουάριο.
Ο κύριος Brad Duncan, ένας ερευνητής ασφαλείας στην Rackspace ανίχνευσε τον Bartalex μέσω ενός rigged Word εγγράφου την Τρίτη.
Το έγγραφο αυτό Word document εμφανίζεται σα να προέρχεται από μια υπηρεσία payroll ADP. Όπως σημειώνει ο κύριος Duncan, με μια γρήγορη ματιά στο θέμα του email ωστόσο αποδεικνύεται ότι το εν λόγω email δεν προέρχεται όντως από την ADP και εάν ο χρήστης ανοίξει το αρχείο, υποθέτοντας ότι περιέχει ενσωματωμένες μακροεντολές που γίνονται enabled στο έγγραφο Word, θα θέσουν σε εφαρμογή όλες τις συνδεδεμένες μακροεντολές.
Σύμφωνα με τον κύριο Duncan, ο οποίος χρησιμοποίησε ένα network protocol αναλύοντας τα εργαλεία με σκοπό να κάνει αναθεώρηση του traffic από την επίδραση του malware, βρήκε ενδείξεις από τα Pony και Dyre σε αυτή την έκδοση του Bartalex.
Χρησιμοποιώντας το Wireshark, ο Duncan παρατήρησε “certificate data βρέθηκαν στο SSL traffic προερχόμενα από τον Dyre” στον κώδικα και στο Security Onion ανίχνευσε έναν αριθμό “events σχετιζόμενα με το Bartalex και τον Pony downloader.”
Το Pony Trojan, το οποίο κυκλοφορεί τα τελευταία χρόνια, είναι γνωστό για την δραστηριότητα του ως κλέφτης Bitcoin, passwords και άλλων credentials, αλλά ίσως ο πιο όχι και τόσο γνωστός από τους ρόλους του είναι αυτός του downloader. Tο Trojan κατά κύριο λόγο κατεβάζει άλλο κακόβουλο λογισμικό, συχνά όπως το Gameover Zeus, στις μηχανές τις οποίες επηρεάζει.
Ενώ το Bartalex έχει παρατηρηθεί να έχει σχέση με το Dyre παλαιότερα, η περίπτωση αυτή φαίνεται να είναι η πρώτη φορά που το Pony χρησιμοποιείται για αυτόν τον λόγο.
Αναλυτές παρατήρησαν ότι οι επιτιθέμενοι διαδίσουν τον Bartalex μέσω χιλιάδων μολυσμένων κακόβουλων Dropbox links από τον Απρίλη αυτού του χρόνου. Το κακόβουλο λογισμικό κατεβάζει διάφορες παραλλαγές του Dyre, του τραπεζικού malware που ειδικεύεται στο να στοχοποιεί user account credentials, στις μηχανές τις οποίες μολύνει.
