10个恶意软件家族正通过美国网络服务器传播

据外媒报道,研究人员发现10个不同的恶意软件家族托管在美国注册的十多台服务器上,它们通过疑似Necurs的僵尸网络进行传播。网络安全公司Bromium的研究人员表示,他们在2018年5月至2019年3月期间一直监测与该基础设施相关的活动。

这10个恶意软件包括5个银行木马家族(Dridex、Gootkit、IcedID、Nymaim和Trickbot)、2个勒索软件变种(Gandcrab和Hermes),以及3个信息窃取器(Fareit、Neutrino和Azorult)。其中有11台服务器属于一家位于美国内华达州的公司,该公司提供VPS托管服务。

在美国的基础设施上发现这些恶意软件是不寻常的,因为美国执法机构通常会在发现恶意基础设施存在时迅速查封它们。

网络安全研究人员表示,服务器上的恶意软件家族已经在多个大规模网络钓鱼活动中传播。

电子邮件和托管已与命令与控制系统分离,这表明这些服务器被不同的组织使用,其中一些负责电子邮件和托管,而另一些负责管理恶意软件。

在追踪了与恶意基础设施相关的垃圾邮件和钓鱼活动后,Bromium表示,在所有检测到的攻击中,电子邮件是主要的攻击载体,包含恶意VBA的Microsoft Word文件是首选的武器化文档。最受欢迎的钓鱼诱饵是求职申请,其次是支付请求。网络钓鱼活动以美国为主要目标,诱饵邮件通常假冒成著名的美国机构。 

此外,恶意软件样本的快速编译以及托管速度表明,恶意软件开发商和分销基础设施运营商之间存在着某些联系。比如Hermes和Dridex的编译和托管只需几个小时,最长不超过24小时。

研究人员表示,此次活动中的用户名和密码是“username”和“password”,提交文件的名为“test1.exe”,所以很可能只是一次试验。而且Dridex活动停滞了几个月,这可能预示着更大规模的Dridex活动即将到来。

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注