Dridex僵尸网络的扩散渠道可能已被黑客入侵,被感染的用户收到了正版Avira杀毒软件,而不是Dridex的恶意软件。至于原因,目前有两种说法。你知道什么是“白帽子”吗? Avira软件研究者表示, Dridex僵尸网络的扩散渠道的一部分可能已经被黑客入侵,Avira杀毒软件副本取代了原本的恶意软件。由于Dridex操纵者不可能派发杀毒软件,所以这可能是一个白帽子黑掉了Dridex并覆盖了他的追踪。
由于美国当局在2015年发布的黑客追缉令,Dridex僵尸网络的关注热度已经回升。Dridex从受感染的电脑中窃取keylogs,并使用透明重定向和webinjects操纵银行网站。通过恶意软件加载垃圾邮件的传播,在欧洲和美国的造成的损失大约有数百万欧元。
Dridex是通过垃圾邮件传播,邮件中通常包含一个有恶意宏的Word文档。一旦文件被打开,恶意宏就能够从被劫持的服务器上下载有效载荷,计算机也因此被感染。
但就现在的情况看来,服务器文件已经被修改。“恶意软件下载URL的内容已经被更改,一个正版的最新的Avira杀毒软件网络安装程序取代了原本的Dridex载入程序。”Avira恶意软件专家莫里茨克罗尔说道。
对于计算机用户来说,被感染后他们将收到一个合法的Avira杀毒软件副本,而不是Dridex的恶意软件。
这次事件看起来很像孙子兵法中提及的“兵者,诡道也”。要诀在于迷惑敌人,使之不清楚我们的真实意图。“我们仍然不知道是谁用我们的安装程序做了这件事,以及他为什么要这样做。但我们已经有了一些猜想”。克罗尔说:“这是当然不是我们自己做的。” 此次事件的两个可能原因:
理论1:网络犯罪分子正在这么做,并试图以某种方式破坏Avira杀毒软件和Avira公司其他的检测过程。但克罗尔否认了这一可能性:“如果是这样的话,我们不认为这些恶意软件会提供Avira安装程序——他们不想提高受害者电脑的防护水平。”
理论2:是“白帽子”匿名做了这件事。“有这样一种可能性,一个白帽子入侵了感染的Web服务器,并使用与Dridex恶意软件编写者所使用的相同漏洞,用Avira杀毒软件安装程序取代了原本的恶意软件。”克罗尔解释道。显然做了这件事的白帽子不想公开此事。“虽然他们做的事是有益的,但是在大多数国家这都被判定是技术的上的违法,因此白帽子才要匿名去做。”
Avira软件的安装程序以前曾被添加到CryptoLocker和 Tesla 勒索软件上。“对于CryptoLocker来说,恶意软件在绝大多数情况下要求CnC通信。所以可执行文件不被接受,Avira软件也不能被执行。当时,我们在一个特定的供应商那看到了很多更改。”克罗尔说道。“至于 Tesla 勒索软件,包括查杀安装背后的动机仍不清楚。” 据Avira的调查,列出了dridex针对的部分金融机构。包括巴克莱银行、柏林银行、法国巴黎银行、德国商业银行、法国农业信贷银行、德意志银行、汇丰银行、la Banque邮政银行、国民西敏寺银行、Raiffeisen银行、苏格兰皇家银行、桑坦德银行、SocieteGenerale、Sparda、储蓄银行,Ulsterbank、以及美国富国银行。 |