神刀安全网

Dridex僵尸网络被黑,用来派发Avira杀毒软件

Dridex僵尸网络被黑,用来派发Avira杀毒软件

Dridex僵尸网络的扩散渠道可能已被黑客入侵,被感染的用户收到了正版Avira杀毒软件,而不是Dridex的恶意软件。至于原因,目前有两种说法。你知道什么是“白帽子”吗?

Avira软件研究者表示, Dridex僵尸网络的扩散渠道的一部分可能已经被黑客入侵,Avira杀毒软件副本取代了原本的恶意软件。由于Dridex操纵者不可能派发杀毒软件,所以这可能是一个白帽子黑掉了Dridex并覆盖了他的追踪。

由于美国当局在2015年发布的黑客追缉令,Dridex僵尸网络的关注热度已经回升。Dridex从受感染的电脑中窃取keylogs,并使用透明重定向和webinjects操纵银行网站。通过恶意软件加载垃圾邮件的传播,在欧洲和美国的造成的损失大约有数百万欧元。

Dridex是通过垃圾邮件传播,邮件中通常包含一个有恶意宏的Word文档。一旦文件被打开,恶意宏就能够从被劫持的服务器上下载有效载荷,计算机也因此被感染。

但就现在的情况看来,服务器文件已经被修改。“恶意软件下载URL的内容已经被更改,一个正版的最新的Avira杀毒软件网络安装程序取代了原本的Dridex载入程序。”Avira恶意软件专家莫里茨克罗尔说道。

对于计算机用户来说,被感染后他们将收到一个合法的Avira杀毒软件副本,而不是Dridex的恶意软件。

这次事件看起来很像孙子兵法中提及的“兵者,诡道也”。要诀在于迷惑敌人,使之不清楚我们的真实意图。“我们仍然不知道是谁用我们的安装程序做了这件事,以及他为什么要这样做。但我们已经有了一些猜想”。克罗尔说:“这是当然不是我们自己做的。”

此次事件的两个可能原因:

理论1:网络犯罪分子正在这么做,并试图以某种方式破坏Avira杀毒软件和Avira公司其他的检测过程。但克罗尔否认了这一可能性:“如果是这样的话,我们不认为这些恶意软件会提供Avira安装程序——他们不想提高受害者电脑的防护水平。”

理论2:是“白帽子”匿名做了这件事。“有这样一种可能性,一个白帽子入侵了感染的Web服务器,并使用与Dridex恶意软件编写者所使用的相同漏洞,用Avira杀毒软件安装程序取代了原本的恶意软件。”克罗尔解释道。显然做了这件事的白帽子不想公开此事。“虽然他们做的事是有益的,但是在大多数国家这都被判定是技术的上的违法,因此白帽子才要匿名去做。”

Avira软件的安装程序以前曾被添加到CryptoLocker和 Tesla 勒索软件上。“对于CryptoLocker来说,恶意软件在绝大多数情况下要求CnC通信。所以可执行文件不被接受,Avira软件也不能被执行。当时,我们在一个特定的供应商那看到了很多更改。”克罗尔说道。“至于 Tesla 勒索软件,包括查杀安装背后的动机仍不清楚。”

据Avira的调查,列出了dridex针对的部分金融机构。包括巴克莱银行、柏林银行、法国巴黎银行、德国商业银行、法国农业信贷银行、德意志银行、汇丰银行、la Banque邮政银行、国民西敏寺银行、Raiffeisen银行、苏格兰皇家银行、桑坦德银行、SocieteGenerale、Sparda、储蓄银行,Ulsterbank、以及美国富国银行。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。

原文链接:https://blog.avira.com/dridex_serves_avira/

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » Dridex僵尸网络被黑,用来派发Avira杀毒软件

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮