Dridex Malware现在分发防病毒程序
由垃圾邮件欺骗的用户打开分发Dridex网上银行木店的恶意Word文档可能有一个令人愉快的惊喜:他们“LL获得了免费的Anitivirus计划。
因为一个不知名的人 - 可能是一个白帽黑客 - 获得了网络犯罪分子用于分发Dridex木马的一些服务器,并用安装者用Avira Free Antivirus替换恶意软件。
Dridex是针对网上银行用户的三个最广泛使用的计算机特洛伊木马之一。去年,美国和U.K的执法当局试图扰乱僵尸网络,并从摩尔多瓦起诉一个人被认为对某些袭击负责。
但他们的努力只造成了Dridex活动的临时下降,僵尸网络从那时起返回全力的强度,甚至为其工具集添加新技巧。特洛伊木马可以录制密钥笔划并将恶意代码注入在受影响的计算机上开放的银行网站。
Dridex攻击通常从有针对性的电子邮件开始,其中包含恶意Word文档。这些文档具有嵌入式宏,如果允许执行,连接到服务器并下载DRIDEX安装程序。
最近,防病毒供应商Avira的恶意软件研究人员观察到一些Dridex分销服务器正在推出一个“最新的Avira Web安装程序”而不是特洛伊木马。
这意味着有些受害者很幸运,而不是拥有他们的电脑感染,他们收到了公司的防病毒计划的合法和数字签署的副本。但是,程序的安装不是自动或沉默,因此用户将不得不手动通过安装过程来获取它运行。
“我们仍然不知道是谁与我们的安装人一起这样做,但为什么我们有一些理论,”Avira的恶意软件专家Moritz Kroll通过电子邮件表示。“这肯定不是我们自己所做的。”
一种可能性是网络犯罪分子正在这样做,以便将防病毒供应商混淆和混淆他们的检测过程。然而,这不太可能,因为他们比帮助受害者保护他们的计算机的收益更多。
更有可能的解释是,这种异常事件是劫持了Dridex分销服务器的白帽黑客的工作。这是由一名名叫布莱恩坎贝尔的研究员独立分析一些服务器的支持。
Campbell发现了一条消息,留在Dridex发行网站上,阅读“本网站唯一犯罪的唯一犯罪”。
“我真的认为这是一个哈克,他们发现如何做好事,但也许没有严格的法律方法,”Kroll说。“如果您想到的话,当政府当局”降低“时,有一个巨大的媒体公告,并在其返回市场的报告水平更小。这必须令人沮丧,可能会导致他们思考:“政府试图把它拿下来,他们不能,我可以自己做点什么”。“
这实际上不是第一次发生的事情。Avira AntiVirus Installer已从过去分发,用于Cryptolocker和Tesla Ransomware的Hacked命令和控制服务器。负责这些事件的人也不知道。