最近有白帽駭客入侵了幾台專門用來竊取銀行密碼的Dridex僵屍網路的伺服器,這些伺服器是用來散佈一些惡意郵件,透過欺騙引誘受害者點選郵件中的附件,藉此來讓受害者的電腦感染木馬,得以被竊取網路銀行的相關資訊。
以「小紅傘」聞名的知名防毒軟體公司Avira最近發現,某些點中了Dridex伺服器所發來的帶有木馬的郵件附件的使用者發現,當他們開啟了郵件附件,下載的並不是木馬,而是Avira的安裝檔。
首先說明一下Dridex 僵屍網路的整個原理以及散佈方式:
基本上其實就是郵件附件裡頭帶有一個惡意程式,但是這個惡意程式只是一個導引木馬程式進來的入口,當你執行了這個惡意程式(通常都是Word檔案,檔案中含有已經編寫好的惡意巨集指令),這個巨集指令中會提供一個URL,導引去另外一個地方下載真正的木馬程式。而這「另外一個地方」,被稱為Dridex僵屍伺服器,而這個僵屍伺服器,事實上也是一台受到木馬程式感染、被綁架的受害者電腦。
詭異的是,最近有很多「受害者」下載的並不是木馬程式,而是Avira小紅傘防毒軟體。而一頭霧水的Avira於是介入調查,他們發現在技術上來說,背後的原因是Word檔案中巨集指令的URL連結被替換掉了,取而代之的是正版Avira小紅傘的下載連結。
Avira的安全人員表示,這件事並不是小紅傘幹的。他們目前還不知道這是怎麼一回事,但有兩種可能的解釋:
第一,惡意軟體的程式作者或是集團,純粹想要用這種方式來迷惑小紅傘或是其它的防毒軟體,讓他們的防毒軟體日後會誤判帶有木馬程式的郵件。但是這種可能性不高,因為如果要誤判,其實有很多其它的程式可用,不需要下載防毒軟體。
第二,有白帽駭客入侵修改了原本的惡意檔案,將原本巨集指令中的URL修改成小紅傘的官方URL。
遭到 Dridex 網路攻擊的受害者電腦,如果被植入木馬程式,在使用網路銀行的話就會被竊取帳號密碼,造成個人財務的損失以及對網路銀行的不信任感,因此 Dridex 也是網路銀行最頭痛的惡意程式。如今出來這樣一個「義賊」,雖然不見得對於消除 Dridex 網路有多大的助益,但至少讓人感到痛快。
資料來源:Avira
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!