FBI已經結盟了一些安全廠商阻止Dridex網銀木馬的操縱。
在Dridex木馬所用的多指令與控制(C&C)服務器已經被撤下后,聯邦調查局獲得了法院下達的協調查封行動。該查封行動旨在削弱惡意軟件的控制網絡,這些控制網絡用于將竊取的信息上傳到網絡上并用來釣魚,以及推送指令和軟件配置到僵尸網絡的僵尸節點上。在所謂的Shadowserver基金會組織的控制之下,被攻擊的流量被重新路由到sinkhole網絡通道。
此外,Moldovan Andrei Ghinkul已經被指控充當BUGAT / Dridex的背后主謀而涉嫌多重犯罪。 Ghinkul(其中聯邦調查局聲稱叫做AKA Smilex),30歲,于八月下旬在塞浦路斯被逮捕但那時沒有透露姓名。作為美國司法部的聲明解釋,美方正在尋找將其引渡的犯罪陰謀、意圖為詐騙的未經授權的計算機訪問,以及計算機破壞、電信欺詐和銀行欺詐指控。
在最近幾個月,Dridex已經走出了ZeuS的影子成為最流行的網銀木馬之一。這已違反了橫跨全球的27個國家數以萬計的組織,并將為英國超過2千萬英鎊(約£30500,000)的損失,以及美國的1千萬美金以上的損失負責。
該網絡犯罪工具捆綁了各種按鍵記錄和網絡注入的功能,已經被世界各地數以萬計的計算機感染了,它能夠盜竊財務憑證,證書,cookies,實施網上銀行詐騙。 Dridex ——之前在2014年7月被普遍認為是網銀木馬Cridex的后代——對英國,美國和法國的影響尤其嚴重。
Dridex是通過垃圾郵件以各種不同的偽裝散布的。最初,利用了安全漏洞,作為垃圾郵件附件。然而最近,攻擊者已經使用了微軟Word的宏指令來感染系統。當目標打開Word文檔后,宏指令將試圖下載并運行Dridex加載器,從而安裝其它僵尸網絡組件。
Dridex僵尸網絡是一個從屬關系模式,且僵尸網絡本身被劃分成13個子僵尸網絡,而每個附屬給出訪問其自己的僵尸的子集。然后每個子僵尸網絡的P2P網絡中毒,并重定向到受感染的系統的sinkhole網絡通道,這意味著Dridex僵尸網絡所感染的計算機不僅僅是犯罪分子一開始掌握的那些了。被感染的機器仍然在感染其他的所以需要盡快進行清理操作。美國國家互聯網應急中心(US CERT)已經開始著手這一方面了。
Dridex有許多和早期僵尸網絡(比如Gameover Zeus)相同的技術和策略,它最近的成功至少可以部分地解釋Gameover Zeus僵尸網絡早期在市場上拉開的技術差距。
“Gameover Zeus僵尸網絡在2014年6月的行為,作為Operation Tovar的一部分給網絡犯罪團體留下了空子,尤其是對于那些金融機構,”戴爾安全工作公司反威脅小組的布Brett Stone-Gross解釋說。 “為了填補這一空白,黑客創造了新的僵尸網絡,其中就包括Dridex和Dyre。 CTU的研究人員觀察到Gameover Zeus和Dridex和Dyre之間在策略上,技術上和程序上(TTPs)有顯著的重合,這說明以前的下屬公司已經搬遷到新的僵尸網絡的企業,并繼續開展他們的詐騙活動。然而,無論是Dridex還是Dyre都已經能夠媲美Gameover Zeus的復雜性、規模和當年的成功。”
京公網安備 11010502049343號