新的变种的Dridex银行木马实现多态性

华盟原创文章投稿奖励计划

华盟君引言“eswhole的安全研究人员跟踪了一项新的活动,该活动传播了一种表现出多态性的Dridex银行木马变种。

eswhole的安全专家发现了一个新的活动,它传播了实现多态性的Dridex银行木马的变种。

Dridex banking Trojan自2014年以来一直存在,多年来,它参与了许多针对金融机构的运动,骗子不断改进它。

即使Dridex的活动在最近几年有所下降,骗子们还是继续更新它,增加新的功能,比如支持XML脚本、哈希算法、点对点加密和点对点命令-控制加密。

恶意软件研究人员布拉德·邓肯(Brad Duncan)在6月17日首次观察到Dridex的一个新变种,它利用一种应用程序白名单技术,通过禁用或阻塞Windows脚本主机来绕过缓解。

2019年6月26日,eswhole Threat Intelligence的专家们发现了一个C2基础设施,指向一个类似的Dridex变种,但大多数VirusTotal服务中列出的杀毒软件都没有检测到。

2019年6月26日,eswhole Threat Intelligence发现了指向类似Dridex变体的新基础设施(见下文IOCs)。在发现的时候,使用来自VirusTotal的数据,只有6个杀毒解决方案的约60个检测到可疑行为[2]。大约12个小时后,6月27日上午,16个防病毒解决方案可以识别这种行为。eswhole发表的分析称。

专家注意到,在当前的行动中,威胁行为者不断地改变指标,使得基于签名的防御解决方案很难检测到威胁。

“给定ssl-pert的同一天部署和实现[。在6月26日,使用随机生成的变量和URL目录的趋势,很可能在当前的活动中,这种Dridex变体背后的参与者将继续改变指标,”eSentire指出。

在6月17日观察到的攻击中,恶意软件使用64位dll,文件名由合法的Windows系统可执行程序加载。Duncan指出,每次登录计算机时,文件路径、文件名和相关哈希值都会发生变化。

攻击从包含武器化文件的垃圾邮件开始,一旦受害者执行了嵌入的宏,恶意代码就会连接到ssl-pert[。下载Dridex安装程序。

Dridex new

“鉴于电子邮件是最初的接入点,员工是抵御这种威胁的第一道防线。预计财务部门将成为携带恶意宏的主动发票的目标。一些反病毒引擎能够检测(但没有指定)可疑行为,”eswhole总结道。

华盟知识星球入口

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/238586.html

发表评论