FBI已经结盟了一些安全厂商阻止Dridex网银木马的操纵。
在Dridex木马所用的多指令与控制(C&C)服务器已经被撤下后,联邦调查局获得了法院下达的协调查封行动。该查封行动旨在削弱恶意软件的控制网络,这些控制网络用于将窃取的信息上传到网络上并用来钓鱼,以及推送指令和软件配置到僵尸网络的僵尸节点上。在所谓的Shadowserver基金会组织的控制之下,被攻击的流量被重新路由到sinkhole网络通道。
此外,Moldovan Andrei Ghinkul已经被指控充当BUGAT / Dridex的背后主谋而涉嫌多重犯罪。 Ghinkul(其中联邦调查局声称叫做AKA Smilex),30岁,于八月下旬在塞浦路斯被逮捕但那时没有透露姓名。作为美国司法部的声明解释,美方正在寻找将其引渡的犯罪阴谋、意图为诈骗的未经授权的计算机访问,以及计算机破坏、电信欺诈和银行欺诈指控。
在最近几个月,Dridex已经走出了ZeuS的影子成为最流行的网银木马之一。这已违反了横跨全球的27个国家数以万计的组织,并将为英国超过2千万英镑(约£30500,000)的损失,以及美国的1千万美金以上的损失负责。
该网络犯罪工具捆绑了各种按键记录和网络注入的功能,已经被世界各地数以万计的计算机感染了,它能够盗窃财务凭证,证书,cookies,实施网上银行诈骗。 Dridex ——之前在2014年7月被普遍认为是网银木马Cridex的后代——对英国,美国和法国的影响尤其严重。
Dridex是通过垃圾邮件以各种不同的伪装散布的。最初,利用了安全漏洞,作为垃圾邮件附件。然而最近,攻击者已经使用了微软Word的宏指令来感染系统。当目标打开Word文档后,宏指令将试图下载并运行Dridex加载器,从而安装其它僵尸网络组件。
Dridex僵尸网络是一个从属关系模式,且僵尸网络本身被划分成13个子僵尸网络,而每个附属给出访问其自己的僵尸的子集。然后每个子僵尸网络的P2P网络中毒,并重定向到受感染的系统的sinkhole网络通道,这意味着Dridex僵尸网络所感染的计算机不仅仅是犯罪分子一开始掌握的那些了。被感染的机器仍然在感染其他的所以需要尽快进行清理操作。美国国家互联网应急中心(US CERT)已经开始着手这一方面了。
Dridex有许多和早期僵尸网络(比如Gameover Zeus)相同的技术和策略,它最近的成功至少可以部分地解释Gameover Zeus僵尸网络早期在市场上拉开的技术差距。
“Gameover Zeus僵尸网络在2014年6月的行为,作为Operation Tovar的一部分给网络犯罪团体留下了空子,尤其是对于那些金融机构,”戴尔安全工作公司反威胁小组的布Brett Stone-Gross解释说。 “为了填补这一空白,黑客创造了新的僵尸网络,其中就包括Dridex和Dyre。 CTU的研究人员观察到Gameover Zeus和Dridex和Dyre之间在策略上,技术上和程序上(TTPs)有显著的重合,这说明以前的下属公司已经搬迁到新的僵尸网络的企业,并继续开展他们的诈骗活动。然而,无论是Dridex还是Dyre都已经能够媲美Gameover Zeus的复杂性、规模和当年的成功。”
