热线电话
  • 010-88558925010-88558943
  • 010-88558955010-88558948
CMIC专家更多

中国半导体行业协会副

3月21日,SEMI产业创新投资论坛在上...更多>>

赛迪研究院未来产业研

近日,工业和信息化部、科技部、交通运输部...更多>>

中国市场情报中心 > CMIC研究 > CMIC观点
CMIC:新的Dridex变种木马出现在FTP应用中

发布时间:2018-05-16 10:10:51

来源:赛迪-中国软件评测中心

作者:刘思思

【打印】 【进入博客】 【推荐给朋友】

  【CMIC讯】近日,Dridex银行木马的一个新变种最近出现在电子邮件系统中,不寻常的是:据Forcepoint研究者发现,攻击者使用受损的FTP站点来托管恶意文件。这是一个显著背离使用HTTP链接规范,可以代表一个新的趋势开始。
 
  网络钓鱼攻击持续了大约7个小时,法国、英国和澳大利亚的众多用户受到牵连。被攻击的电子邮件都曾点击超文本链接到能够托管恶意文件的受感染的FTP服务器上。这些FTP链接地址吸引邮件用户下载DOC或XLS文件。如果打开恶意DOC文件,则会触发Microsoft Office中的DDE(动态数据交换)功能以下载Dridex木马。这些钓鱼邮件非常聪明的用如admin@或billing@伪造成官方邮件格式。
 
  Forcepoint公司认为这些邮件很可能来自臭名昭著的Necurs僵尸网络。因为所使用的域名是受感染过的,并与Dridex的一个关键分销商Necurs botnet绑定。研究人员表示:“最近出现使用恶意链接分发Dridex的记录,但是切换到基于FTP的下载URL时又是意想不到的一个结果”。
 
  通常电子邮件网关和网络策略会将FTP视为可信地址,研究人员说“此次恶意钓鱼事件攻击者似乎并不担心他们滥用FTP站点证书被揭露,这有可能导致被感染的FTP站点受到其他恶意组织的再利用” 。这表明攻击者拥有充足的已被盗用的FTP账户,因此将这些资源视为一次性使用。同样的,如果多个攻击者同时使用该站点,会给安全专业人员和执法机构带来更多工作困难。
 
  Forcepoint调查主管Luke Somerville在接受采访时说,FTP站点的使用及活跃量较低,使其比较独特。此次攻击因为与Necurs有联系而受到比较多的关注,但并不完全代表是一个历史性的Necurs攻击,Necurs攻击范围通常更大更广,一般涉及数以万计的电子邮件。Forcepoint暂时不想把其归为Necurs攻击,认为很有可能是有人故意买了发送钓鱼邮件这项服务,也有可能是在网络钓鱼活动中使用FTP服务的一种尝试。同时,此次攻击事件中利用的DDE功能是一种允许用户与应用程序之间共享数据的协议,并且易被攻击者滥用来启动droppers、exploit和恶意软件,但是微软拒绝为其打补丁进行升级。微软认为它是word的一个特点,而不是一个漏洞。微软的理论是“每个人的厨房里都有一把菜刀,你也可以用它做一些可怕的事情” 。其次用户的安全意识是防止这类钓鱼事件发生的有效手段,人们必须禁止点击钓鱼链接。

责任编辑:言笑晏晏

相关报道
  • --

联系我们:8610-8855 8955 zhouhl@staff.ccidnet.com

广告发布: 8610-88558925

方案、案例展示: 8610-88558925

Copyright 2000-2011 CCIDnet.All rights reserved.

京ICP000080号 网站-3