改良的Dridex木马继续掠夺英国银行
曾经从英国银行窃取数百万的Dridex木马在全球范围内仍然占主导地位,并继续发展,安全研究人员警告说。
2015年10月,英国的国家犯罪机构将Asinkholefor DridexMalware设置为阻止被称为僵尸网络的被称为僵尸网络 - 与联邦调查局运营的美国藏楼相结合,从控制它们的网络罪犯沟通。
但是,只有一个月后,Dridex正在稳步恢复其基础,主要在美国的威胁研究经理Ryan Flores威胁科学经理威胁研究经理,这是英国,法国和澳大利亚的竞选活动。“取下服务器是僵尸网络的重要一步,但除非所有基础设施都被摧毁并且所有的威胁演员都被捕获,除非抓住所有威胁演员,否则Dridex等威胁必然会归因于Resurface,”他在博客文章中写道。
IBM的安全研究人员已经确认了这一点,从2016年1月6日检测到新版本的恶意软件,此后已被用于主要用于英国银行。
IBM X-Force的研究表明,尽管尝试关闭Dridex下来,它仍然是世界三个最活跃的银行场特洛伊木马之一。
该研究还透露,除了修复虫子和重新处理DRIDEX之外,DRIDEX背后的网络罪犯还对恶意软件的基础设施进行了重大投资,以及类似的重定向攻击方案。
Dridex Gang被称为邪恶的公司,最近几周集中了,它的努力集中在一个使用Andromeda Botnet将恶意软件垃圾邮件发送到英国预期受害者的新活动。
Riddex SPAM广告系列的目标接收Microsoft Office文件附件,声称通过电子邮件成为发票。该文件包含中毒宏,一旦启用,启动剥削和感染过程。
宏恶意软件是一项长期威胁,在最近的近年来,在伦敦软件等威胁中看到了复兴,并且已被用来在过去传播Dridex。
据IBM IBM网络情报专家的Imber Kessem,据IBM Imber Kessem,据最新的攻击方法代表了Dridex恶意软件的演变,但它并不完全是新颖的。
“它复制了Thedyre Trojan'Sredirection攻击计划的概念。Dyre和Dridex之间的差异是重定向发生的方式。Dyre通过本地代理重定向,而DRIDEX通过本地DNS缓存中毒重定向,“她在博客文章中写道。
在DNS缓存中毒中,攻击者将Internet域的虚假地址记录插入端点的高速缓存DNS。因此,缓存将在后续浏览请求中使用假地址并将流量路由到攻击者服务器的地址。
重定向攻击在他们试图将浏览器指向他们的网上银行网站时,通过向全新的网站发送受感染的受害者来工作。
通过将受害者远离银行的网站,欺诈者可以欺骗他们进入拼图的关键认证代码,而没有本行知道客户的会话已受到损害。
为了进行重定向攻击,网络犯罪团伙需要在创建有针对性银行的网站复制品中进行大量投资。
Kessem指出,当Dodre开始使用此计划时,它瞄准了十几个银行。但这已经证明,越野的运算符转回使用Web注入和页面更换的资源密集型。
一旦假设到位,Dridex将重定向受害者的HTTP请求,并将它们发送到假站点,而无需任何视觉线索或可见延迟,因为受害者仍将在浏览器的地址栏中看到正确的URL。
假设然后提示受害者提供双因素身份验证事务代码,例如第二个密码或回复秘密问题。
Dridex收获这些细节并将其发送到其命令和控制服务器,以便实时检查银行正版网站的有效性。如果登录凭据有效,则欺诈者可以通过帐户收购从自己的端点进行欺诈事务。
因为它是实时完成的,如果网络罪犯在银行网站上缺乏任何细节或面临额外挑战,他们可以让受害者帮助他们。在成功的信息收获的情况下,金钱从受害者的账户转移到网络罪犯控制的账户。
根据IBM的研究人员,Dridex的运营商最初在英国初步定位了两家银行,但在一周之内将其延长至13家银行,全部位于英国。该团伙还似乎是主要的商业和公司账户。
“通过每个银行定位高价值的客户,Dridex的运营商明确规划对欺诈性的经营账户进行欺诈转移,并且众多人口仍然诱惑,”Kessem写道。
根据TOMVIRUSTOTAL的仅在56中仅通过四个防病毒供应商检测到IBM X力分析的DRIDEX样本。
“为了帮助阻止诸如Dridex,银行和服务提供商等威胁,可以使用自适应解决方案来检测感染,并在恶意软件迁移或在一个地区找到新的焦点时,”kessem。
在银行方面,她表示,使用正确的恶意软件检测功能,对Dridex重定向攻击等不断变化的威胁进行了反击。
“由于保护层旨在解决曾经变化的威胁景观,金融组织可以从恶意软件智能中受益,该智能提供对欺诈者技术和能力的实时洞察力,”Kessem写道。