Waledac恶意软件通过发送垃圾邮件哄抬股票价格

阅读量109578

|

发布时间 : 2016-01-14 12:46:35

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:http://www.symantec.com/connect/ko/blogs/waledac-takes-pot-shot-pump-and-dump-stock-spam

译文仅供参考,具体内容表达以及含义原文为准。

https://p4.ssl.qhimg.com/t011af13ef4458d3e3d.jpg

最近,安全研究人员在对W32.Waledac僵尸网络的活动进行分析时发现,Waledac恶意软件已经让UPOT的股票价格提升了将近一倍。

https://p5.ssl.qhimg.com/t017cd9421d20ddd14b.png

在近期的一项针对Waledac(W32.Waledac)僵尸网络活动的分析研究中,赛门铁克公司的安全研究人员观察到了一种恶意哄抬股票价格的垃圾邮件活动,这一恶意活动可能已经将目标股票的股价提升了将近一倍。在此次事件中,目标公司为独立种植者协会,其股票代码为:UPOT,这家公司与种植大麻有关,而近期该公司的股票迎来了其历史上前所未有的暴涨。
研究人员于2008年首次发现了Waledac(也有人称其为Kelihos),这个全球大型的僵尸网络似乎已经存活了九年之久,并且在多次
打击僵尸网络的行动中存活了下来。多年以来,Waledac的功能不断地完善,它可以下载并运行可执行文件,并且还可以作为一个网络代理来使用。除此之外,它还可以从被入侵的计算机中搜集用户凭证,并执行拒绝服务(DoS)攻击。尽管这个名为Waledac的僵尸网络有如此之多的功能,但其主要的恶意活动还是与垃圾邮件活动有关。

垃圾邮件

在2015年10月22日至11月18日之间,赛门铁克的研究人员发现,在一个受控环境中,Waledac僵尸网络会命令该网络中的其中一台“肉鸡“尝试向外发送35361封垃圾邮件。针对垃圾邮件的分析表明,其中总共使用到了141种不同的电子邮件主题。在研究人员对垃圾邮件进行进一步的分析之后,他们发现这些邮件与股票价格变化,点击劫持攻击,网络诈骗,以及钓鱼攻击等恶意活动有关。

http://p5.qhimg.com/t01192d883bfa343021.png

图片1:Waledac僵尸网络所使用到的各个电子邮件主题的数量,并按主题进行分组整理。

我们发现,其中绝大多数的电子邮件主题与股票价格的上涨和下跌有关。不可否认的是,当我们对所有垃圾邮件的主题类型进行数量统计时,其中绝大多数的电子邮件都是与股票价格变化有关的垃圾邮件。

http://p0.qhimg.com/t01ea01d4441f15f53e.png

图片2:Waledac僵尸网络所发送的垃圾邮件数量,并按其类型进行分组整理。

研究人员在近期对Waledac僵尸网络所发送的垃圾邮件进行了分析,并且发现该僵尸网络现在开始传播与医药学有关的垃圾邮件了。

与股票上涨或下跌有关的垃圾邮件活动

与股票上涨或下跌有关的垃圾邮件活动涉及到股票价格的人为哄抬,这类恶意的股价哄抬行为会误导股民和公司的决策者做出正确的决策。此类诈骗行为中的犯罪分子会在股票上涨之前低价买入目标股票(通常是在股价低得离谱的时候买入),然后在目标股票上涨到一定程度之后再高价卖出,并通过这种操作来谋取巨额利润。这种恶意行为并不是什么新鲜事了,而且这也被认为是一种欺诈行为

Waledac僵尸网络针对股票价格的垃圾邮件活动起始于2015年11月7日,我们观察到推广UPOT股票的垃圾邮件至少在网络中传播了11天。

http://p0.qhimg.com/t01497b137037a3fb5b.png

图片3:我们所观察到的垃圾邮件样本

在11月7日,UPOT股票的交易价格为0.08美元。从该股票的交易历史上看,UPOT股票价格要远远高于0.08美元,而在去年时,该股票的交易价格最高曾达到过0.59美元。

http://p0.qhimg.com/t01685b70c6bb5f333b.png

图片4:2015年UPOT股票价格变化表

在垃圾邮件活动开始泛滥之前,UPOT股票的交易价格仍然是趋于稳定的。在Waledac僵尸网络开始传播垃圾邮件之后,StockMarketMonitors.com发表了下面这段文字:

独立种植者协会的股票UPOT在今日收盘时,卖出了大约三十万支股,交易价格为12美分,而在昨天收盘时,该股票的价格仅为6美分,在一天的时间内该股票的价格上涨了一倍之多。

在11月18日的垃圾邮件活动结束之后,UPOT股票的价格从8美分上涨到了16美分,这种情况与股票正常的上涨和下跌模式有着非常明显的区别。

图片5:近三个月内,UPOT股票的价格变化走势

虽然我们可以清楚地看到这支股票的价格走势,但我们却很难了解到犯罪分子从这种欺诈活动中到底获得了多少利润。考虑到这段时间内这支股票的交易量,我们估计犯罪分子可能已经从中获取了数千万美元的利润。这一庞大的数额已经足以吸引美国证券交易委员会(SEC)的注意了。

持续的安全威胁

Waledac僵尸网络目前仍然是最为常见的垃圾邮件僵尸网络之一,这种僵尸网络帮助了网络犯罪分子进行了大量的欺诈活动。在此之前,安全研究人员曾多次进行了针对Waledac僵尸网络的打击行动,但该僵尸网络仍然处于活跃状态,这也就意味着如果真的要彻底清除这一僵尸网络,我们还有很长一段路要走。这篇文章的目的就是为了告诉大家,与股票有关的垃圾邮件在欺诈活动中是非常有效果的。赛门铁克公司的分析人员所给出的上述信息同样适用于其他由Waledac僵尸网络所主导的垃圾邮件欺诈行为。

保护措施

赛门铁克公司为其广大客户提供了电子邮件云安全服务,这项服务可以保护用户不受这些垃圾邮件的侵害。赛门铁克和诺顿的安全防护产品会从一下几个方面来对Waledac样本进行检测:

反病毒软件

·       W32.Waledac

·       W32.Waledac.B

·       W32.Waledac.B!gen1

·       W32.Waledac.C

·       W32.Waledac.C!gen1

·       W32.Waledac.C!gen2

·       W32.Waledac.C!gen3

·       W32.Waledac.D

·       W32.Waledac.D!gen1

·       W32.Waledac.D!gen2

·       W32.Waledac.D!gen3

·       W32.Waledac.D!gen4

·       W32.Waledac.D!gen5

·       W32.Waledac.D!gen6

·       W32.Waledac.D!gen7

·       Packed.Generic.495

入侵防御系统

·       HTTP W32 Waledac Activity 3

·       System Infected: W32.Waledac Activity

·       System Infected: W32 Waledac Activity 8

·       System Infected: W32 Waledac Activity 10

·       System Infected: W32.Waledac Activity 11

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
WisFree
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66