Flashpoint安全研究人员警告：最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。

Dridex最先于2014年被发现，因其使用了 GameOver ZeuS (GoZ)  恶意软件点对点架构改进版来保护其命令与控制(C&C)服务器，而被认为是GoZ的继任者。Dridex作为最流行的银行木马家族冒头，但其最近的活动相比2014和2015年时的还是有所平缓。

最近观察到的Dridex活动比较小型，针对英国金融机构，采用了前所未见的UAC规避方法——利用Windows默认恢复光盘程序recdisc.exe。该恶意软件还被观测到通过伪装的SPP.dll来加载恶意代码，利用svchost和spoolsrv来与第一级C&C服务器和其他节点进行通信。

与其他恶意软件类似，Dridex通过带Word文档附件的垃圾邮件进行投送，附件中就隐藏有可下载并执行恶意软件的恶意宏。最先释放的模块用于下载主Dridex负载。感染后，该木马会从当前位置移动到%TEMP%文件夹。

恶意软件感染后，Dridex令牌抢夺和Web注入模块能使欺诈操作者快速获得搞定身份验证和授权问题所需的额外信息，让这些反欺诈系统和金融机构的安全措施毫无用武之地。黑客还能创建自定义的对话窗口，伪装成来自银行的调查，诱使受害者自己填入所需信息。

在被感染的机器上，Dridex利用Windows默认恢复光盘程序recdisc.exe，来加载伪造的SPP.dll，并绕过 …