白帽駭客入侵僵屍網路惡搞,受害者不會中毒反而安裝Avira小紅傘防毒

白帽駭客入侵僵屍網路惡搞,受害者不會中毒反而安裝Avira小紅傘防毒

最近有白帽駭客入侵了幾台專門用來竊取銀行密碼的Dridex僵屍網路的伺服器,這些伺服器是用來散佈一些惡意郵件,透過欺騙引誘受害者點選郵件中的附件,藉此來讓受害者的電腦感染木馬,得以被竊取網路銀行的相關資訊。

以「小紅傘」聞名的知名防毒軟體公司Avira最近發現,某些點中了Dridex伺服器所發來的帶有木馬的郵件附件的使用者發現,當他們開啟了郵件附件,下載的並不是木馬,而是Avira的安裝檔。

首先說明一下Dridex 僵屍網路的整個原理以及散佈方式:

基本上其實就是郵件附件裡頭帶有一個惡意程式,但是這個惡意程式只是一個導引木馬程式進來的入口,當你執行了這個惡意程式(通常都是Word檔案,檔案中含有已經編寫好的惡意巨集指令),這個巨集指令中會提供一個URL,導引去另外一個地方下載真正的木馬程式。而這「另外一個地方」,被稱為Dridex僵屍伺服器,而這個僵屍伺服器,事實上也是一台受到木馬程式感染、被綁架的受害者電腦。

詭異的是,最近有很多「受害者」下載的並不是木馬程式,而是Avira小紅傘防毒軟體。而一頭霧水的Avira於是介入調查,他們發現在技術上來說,背後的原因是Word檔案中巨集指令的URL連結被替換掉了,取而代之的是正版Avira小紅傘的下載連結。

Avira的安全人員表示,這件事並不是小紅傘幹的。他們目前還不知道這是怎麼一回事,但有兩種可能的解釋:

第一,惡意軟體的程式作者或是集團,純粹想要用這種方式來迷惑小紅傘或是其它的防毒軟體,讓他們的防毒軟體日後會誤判帶有木馬程式的郵件。但是這種可能性不高,因為如果要誤判,其實有很多其它的程式可用,不需要下載防毒軟體。

第二,有白帽駭客入侵修改了原本的惡意檔案,將原本巨集指令中的URL修改成小紅傘的官方URL。

遭到 Dridex 網路攻擊的受害者電腦,如果被植入木馬程式,在使用網路銀行的話就會被竊取帳號密碼,造成個人財務的損失以及對網路銀行的不信任感,因此 Dridex 也是網路銀行最頭痛的惡意程式。如今出來這樣一個「義賊」,雖然不見得對於消除 Dridex 網路有多大的助益,但至少讓人感到痛快。

 

資料來源:Avira

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則