根据IBM X-Force团队安全专家们的消息,他们发现了一波通过Andromeda僵尸网络传播的新型恶意活动。这是一种基于Dridex木马的攻击,主要目标是英国银行企业的客户,目的是窃取他们的身份验证码。
Dridex网银木马又出新变种
对于银行来说,Dridex网银木马是最为严重的威胁之一。近期,Evil Corp(Evil公司)发布了一款Dridex网银木马的新变种,该变种已经通过Andromeda僵尸网络在互联网上进行传播。新变种的Dridex网银木马的主要攻击目标是富有的英国银行客户。
IBM网络安全研究者Limor Kessem陈述道:
“Dridex最近出现了一款新型变种,修复了一些内部bug。新版本恶意软件的版本号为V196769(即v.3.161),它于2016年1月6日首次被发现。这款新型变种发布后,立即被一场恶意感染活动所传播,该感染活动利用Andromeda僵尸网络将它传播到潜在受害者电脑上。值得一提的是,这场恶意活动的主要攻击目标是英国银行客户。”
攻击流程分析
在这场新型恶意活动中,受害者会接收到一封垃圾邮件,其中包含一个微软Office文件的附件,邮件中声称此附件为一个发票文件。事实上,这个附件中包含一个恶意宏;且一旦被启动,就会开启感染进程:首先将Dridex植入到目标电脑上,然后在用户正常访问银行合法网站时,将其重定向到恶意网站上。
在对重定向机制进行详细分析后,X-Force研究人员们将新型的Dridex感染重定向攻击与Dyre木马的重定向攻击方案进行了对比,两者之间唯一的不同点是:Dyre通过一个本地代理进行重定向,而Dridex是通过本地DNS中毒进行重定向。这种攻击方案的目的是诱导受害者泄露身份验证码。
仍旧处于不断更新之中
根据专家们的消息,Dridex木马在感染用户的数量上和质量上都有所提高,所针对的银行数量也在逐步增加,并且其代码更加复杂,功能也在不断的更新。
本文转自d1net(转载)