【安全资讯】Dridex在圣诞期间通过垃圾邮件进行分发

猎影实验室 2021-12-29 01:34:07 2129人浏览

引言

研究人员发现带有Dridex银行木马的Excel 文件通过邮件在圣诞节期间分发,攻击者随机分发用户,由于文件受密码保护,因此可绕过反恶意软件检测。

 

简况

Dridex 是一种银行木马,它收集用户的银行凭据并通过接收攻击者的命令来执行恶意行为。Dridex 通常通过垃圾邮件分发,并在通过加载程序下载主模块后执行恶意行为。

 

最近发现的 Dridex 的分发方式有如下流程和特点:

  • 网络钓鱼电子邮件分发给随机用户
  • 文件受密码保护以绕过反恶意软件的检测,密码写在电子邮件中
  • 启用文档宏时弹出消息“圣诞快乐!” 或“圣诞快乐!” 
  • 使用 Excel 单元格公式方法创建和运行 VBS 脚本
  • 下载并运行 Dridex

 

网络钓鱼电子邮件的内容从“所有工人的圣诞奖金”到“终止雇佣”等。

 

下载的 Excel 文件包含有关“圣诞节奖金”的信息,并包含使用主要用于 Excel 宏恶意软件的单元格公式方法的隐藏工作表。运行宏代码将弹出“圣诞快乐”的消息。

 

 

VBS 代码内部包含通过 WMIC 的普通 Windows 实用程序和可以下载 Dridex 的 URL 在本地运行恶意文件的过程,该 URL 使用相当简单的混淆编写和应用。由于从文件中找到的 URL 已断开连接,无法下载恶意软件。但是,从另一个具有类似形式的有效连接的URL获取的dll文件被发现是Dridex。

 

结语

由于网络钓鱼电子邮件是随机挑选目标进行分发,用户应避免打开电子邮件中的附件,即使它们是由受信任的发件人发送的。

失陷指标(IOC)4
Dridex 银行木马 垃圾邮件
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。