【安全资讯】Dridex在圣诞期间通过垃圾邮件进行分发

引言

研究人员发现带有Dridex银行木马的Excel 文件通过邮件在圣诞节期间分发，攻击者随机分发用户，由于文件受密码保护，因此可绕过反恶意软件检测。

简况

Dridex 是一种银行木马，它收集用户的银行凭据并通过接收攻击者的命令来执行恶意行为。Dridex 通常通过垃圾邮件分发，并在通过加载程序下载主模块后执行恶意行为。

最近发现的 Dridex 的分发方式有如下流程和特点：

• 网络钓鱼电子邮件分发给随机用户
• 文件受密码保护以绕过反恶意软件的检测，密码写在电子邮件中
• 启用文档宏时弹出消息“圣诞快乐！” 或“圣诞快乐！” 
• 使用 Excel 单元格公式方法创建和运行 VBS 脚本
• 下载并运行 Dridex

网络钓鱼电子邮件的内容从“所有工人的圣诞奖金”到“终止雇佣”等。

下载的 Excel 文件包含有关“圣诞节奖金”的信息，并包含使用主要用于 Excel 宏恶意软件的单元格公式方法的隐藏工作表。运行宏代码将弹出“圣诞快乐”的消息。

VBS 代码内部包含通过 WMIC 的普通 Windows 实用程序和可以下载 Dridex 的 URL 在本地运行恶意文件的过程，该 URL 使用相当简单的混淆编写和应用。由于从文件中找到的 URL 已断开连接，无法下载恶意软件。但是，从另一个具有类似形式的有效连接的URL获取的dll文件被发现是Dridex。

结语

由于网络钓鱼电子邮件是随机挑选目标进行分发，用户应避免打开电子邮件中的附件，即使它们是由受信任的发件人发送的。