Dridex新攻击活动在法国表现活跃

龙 宇 2016-7-27 最新资讯 0 0

  Dridex新攻击活动在法国表现活跃

  安全公司Invincea的研究人员今天宣布,他们注意到过去4天发生了60次攻击者向法国用户投放Dridex的事件。作为该新活动复兴的一部分,攻击者明显通过捆绑Microsoft Office文件,伪装成酒店和商店的收据。这些文件通过钓鱼邮件传播。当用户打开这些文件时,宏进行反复地通讯进而创建恶意程序PIDARAS.exe,该恶意软件进一步通过命令和控制服务器与位于日本的主机进行通讯。

  Invincea警告称,本次骗局使用恰到时机的恶意程序组方案来躲避检测。该策略系由该公司创造,用于描述该恶意程序是否直接在终端上生成,由来自该机器的组件装配,比如说Windows的工具——本案中使用宏——来躲避沙箱的分析。

  更令人担忧的是,本次活动还使用由Comodo证书签名的代码,进一步逃避信任签名可执行文件的技术。

  当前,本次活动看起来仅限于法国,因为文件名具有相似的模式:法语的“facture”或“bill”,然后是店名,再然后是代码,但是研究人员强调本次攻击活动可以随时进行改变而适用于美国和其他国家。

  “法国的攻击活动可能暗示着更广范围内的攻击活动的复燃,很有可能会以美国和其他国家的用户,就像Dridex之前做的一样。”该公司在周一发布的一项新闻稿中提到。

  美国FBI和司法部,以及英国国家犯罪署在本月初宣布称,已经拿下大部分支持Dridex的网络基础设施。Dell SecureWorks官方协助了本次执法活动,它破坏了与该僵尸网络有关的P2P网络,但是似乎某些控制该恶意程序的网络成功避开了本次执法活动。

  Palo Alto的研究人员本月初作出了最早的报道之一,在刚到10月,该木马就已卷土重来,并以英国的用户为目标。那次活动,与本次以法国为目标的活动一样,均是用钓鱼邮件引诱用户来启用宏从而下载恶意程序。

  SANS网络风暴中心的管理者Brad Duncan上周五在InfoSec Handlers Diary写道,从整体上来看,Dridex确实只消失了一个月。在该文章中,Duncan将来自VirusTotal的数据汇总起来,这些数据显示用户在讨论看起来与恶意程序有关的URLs、Excel电子表格和Word文档。

  Duncan说,基于僵尸网络的恶意钓鱼邮件Dridex在9月份的时候从SANS的雷达上消失了,但它确实在10月份有所复苏。Duncan提示说,在9月2日之后,VirusTotal就未收到带有“#Dridex”标签的报告,但在10月1后有扭转的迹象,与Palo Alto研究所显示的时间类似。

 

原文地址:https://www.77169.com/news/HTML/20151030084532.shtm

转载请注明来自华盟网,本文标题:《Dridex新攻击活动在法国表现活跃》

喜欢 (0) 发布评论