Dridex僵尸网络被黑,用来派发Avira杀毒软件

阅读量133870

|

发布时间 : 2016-02-06 13:33:29

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:https://blog.avira.com/dridex_serves_avira/

译文仅供参考,具体内容表达以及含义原文为准。

spyware-548x250.jpg?f8ec08

        Dridex僵尸网络的扩散渠道可能已被黑客入侵,被感染的用户收到了正版Avira杀毒软件,而不是Dridex的恶意软件。至于原因,目前有两种说法。你知道什么是“白帽子”吗?


        Avira软件研究者表示, Dridex僵尸网络的扩散渠道的一部分可能已经被黑客入侵,Avira杀毒软件副本取代了原本的恶意软件。由于Dridex操纵者不可能派发杀毒软件,所以这可能是一个白帽子黑掉了Dridex并覆盖了他的追踪。

 

        由于美国当局在2015年发布的黑客追缉令,Dridex僵尸网络的关注热度已经回升。Dridex从受感染的电脑中窃取keylogs,并使用透明重定向和webinjects操纵银行网站。通过恶意软件加载垃圾邮件的传播,在欧洲和美国的造成的损失大约有数百万欧元。

 

        Dridex是通过垃圾邮件传播,邮件中通常包含一个有恶意宏的Word文档。一旦文件被打开,恶意宏就能够从被劫持的服务器上下载有效载荷,计算机也因此被感染。

 

        但就现在的情况看来,服务器文件已经被修改。“恶意软件下载URL的内容已经被更改,一个正版的最新的Avira杀毒软件网络安装程序取代了原本的Dridex载入程序。”Avira恶意软件专家莫里茨克罗尔说道。

 

        对于计算机用户来说,被感染后他们将收到一个合法的Avira杀毒软件副本,而不是Dridex的恶意软件。

 

        这次事件看起来很像孙子兵法中提及的“兵者,诡道也”。要诀在于迷惑敌人,使之不清楚我们的真实意图。“我们仍然不知道是谁用我们的安装程序做了这件事,以及他为什么要这样做。但我们已经有了一些猜想”。克罗尔说:“这是当然不是我们自己做的。”

        此次事件的两个可能原因:

 

        理论1:网络犯罪分子正在这么做,并试图以某种方式破坏Avira杀毒软件和Avira公司其他的检测过程。但克罗尔否认了这一可能性:“如果是这样的话,我们不认为这些恶意软件会提供Avira安装程序——他们不想提高受害者电脑的防护水平。”

 

        理论2:是“白帽子”匿名做了这件事。“有这样一种可能性,一个白帽子入侵了感染的Web服务器,并使用与Dridex恶意软件编写者所使用的相同漏洞,用Avira杀毒软件安装程序取代了原本的恶意软件。”克罗尔解释道。显然做了这件事的白帽子不想公开此事。“虽然他们做的事是有益的,但是在大多数国家这都被判定是技术的上的违法,因此白帽子才要匿名去做。”

 

        Avira软件的安装程序以前曾被添加到CryptoLocker和 Tesla 勒索软件上。“对于CryptoLocker来说,恶意软件在绝大多数情况下要求CnC通信。所以可执行文件不被接受,Avira软件也不能被执行。当时,我们在一个特定的供应商那看到了很多更改。”克罗尔说道。“至于 Tesla 勒索软件,包括查杀安装背后的动机仍不清楚。”

        据Avira的调查,列出了dridex针对的部分金融机构。包括巴克莱银行、柏林银行、法国巴黎银行、德国商业银行、法国农业信贷银行、德意志银行、汇丰银行、la Banque邮政银行、国民西敏寺银行、Raiffeisen银行、苏格兰皇家银行、桑坦德银行、SocieteGenerale、Sparda、储蓄银行,Ulsterbank、以及美国富国银行。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
Roar_93
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66