有人劫持僵尸网络并用防病毒软件替换恶意软件
相关标签: # 服务器# 账户# 攻击# 软件# 软件
一部分Dridex银行特洛伊木马僵尸网络可能已被未知的Whitehat黑客入侵,该黑客将恶意链接替换为阿维拉病毒安装工。
什么是Dridex银行特洛伊木马?它是如何工作的?
Dridex恶意软件– 亦称为布加特 和克里德克斯– 据信是东欧的网络犯罪分子为了获取网上银行的详细信息而创建的。即使在2015年末一次备受瞩目的拆除行动之后,Dridex僵尸网络似乎也再次活跃起来。
Dridex病毒通常通过包含恶意附件的垃圾邮件或电子邮件传播,通常是与恶意宏集成的Microsoft Office文件或Word文档。
一旦点击了恶意文件,宏就会下载并安装病毒的主要有效载荷–;特洛伊木马程序本身–;来自被劫持的服务器,该服务器安装并运行在受害者的计算机上。
然后,Dridex特洛伊木马程序会在受感染的机器上创建一个键盘记录器,并通过透明重定向和网络注入来操纵银行网站。
这会导致盗取受害者的用户名和密码等个人数据,最终目的是侵入银行账户并挪用现金。
黑客用杀毒软件取代特洛伊木马
然而,最近骇客惊喜:正如该公司宣布的那样,Dridex僵尸网络的一部分目前似乎正在传播Avira免费杀毒软件的合法副本,而不是传播银行特洛伊木马。
“恶意软件下载[链接]背后的内容已被替换,它现在提供[合法的]最新的Avira web安装程序,而不是通常的Dridex加载程序,”Avira恶意软件专家解释道莫里茨·克罗尔据Reg报道。
Avira认为,一名或多名白帽黑客可能使用恶意软件作者使用的相同漏洞侵入了部分受感染的web服务器,然后用Avira安装程序替换了恶意代码。
因此,一旦被感染,受害者就不会收到Dridex恶意软件,而是得到一份有效的、签名的Avira防病毒软件副本。
“我们仍然不知道到底是谁在用我们的安装程序做这件事,以及为什么–;但我们有一些理论,”克罗尔说。“这肯定不是我们自己在做的事情。”
克罗尔说,尽管包括Avira软件在内的动机尚不清楚,但在许多国家,这种行为被认为是非法的。
如何防止恶意软件攻击?
防止自己成为Dridex Banking特洛伊木马僵尸网络的一部分的指导是:
- 确保你的电脑上运行了更新的防病毒程序,该程序应该能够在恶意附件被打开之前拦截它们。
- 保护在线环境的最佳措施之一是在网络层部署入侵检测系统(IDS),当与实时威胁情报和SIEM(安全情报和事件监控)解决方案集成时,该系统对于快速检测网络中的恶意软件和其他威胁尤其有用,例如AlienVault统一安全管理(USM)。
- 打开从未知电子邮件地址发送的电子邮件附件时要小心,尤其是(在本例中)Microsoft Word和Excel文件。
- 在MS Office中禁用宏,或者至少将宏设置为在运行前请求权限。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
