توزیع تروجان بانکی Dridex از طریق سرورهای FTP هک‌شده

خلاصه: محققان یک کمپین جدید را کشف کردند که از سرورهای FTP برای توزیع تروجان بانکی Dridex سوءاستفاده می‌کند. مهاجمان در این کمپین از دو نوع سند سوءاستفاده می‌کنند، یکی اسناد Word و سوءاستفاده از پروتکل DDE و همچنین یک فایل XLS با کد ماکرویی که تروجان بانکی Dridex را از یک سرور هک شده دانلود می‌کنند. همچنین گفته می‌شود که این کمپین از بات‌نت Necurs برای ارسال اسپم استفاده می‌کند.

 

محققان امنیتی در Forcepoint یک کمپین اسپم جدید را کشف کردند که از سرور‌های FTP هک شده به‌عنوان ریپازیتوری برای اسناد مخرب استفاده کرده و کاربران را با تروجان بانکی Dridex آلوده می‌کنند.

تروجان بانکی Dridex یک بدافزار قدیمی است که در طول این سال‌ها به‌طور مداوم بهبود یافته است.

مهاجمان در این کمپین از دو نوع سند سوءاستفاده می‌کنند، یکی اسناد Word و سوءاستفاده از پروتکل DDE و همچنین یک فایل XLS با کد ماکرویی که تروجان بانکی Dridex را از یک سرور هک شده دانلود می‌کنند.

به گفته‌ی کارشناسان، مهاجمان به نحوی مجوزهای login را برای هک سرورهایی که در این کمپین از آن استفاده می‌کنند، به دست آورده‌اند. به نظر نمی‌رسد که سرورهای هک شده از یک نرم‌افزار FTP یکسان استفاده کنند و به‌این ترتیب احتمالا مجوزها به روش‌های دیگری به دست هکرها افتاده‌اند.

به نظر می‌رسد عاملان این کمپین نگران افشای مجوزهای سایت‌های FTP که از آن‌ها سوءاستفاده می‌کنند نیستند، و به‌طور بالقوه سایت‌های هک‌شده را را برای استفاده‌ی گروه‌های دیگر به نمایش می‌گذارند. این مورد ممکن است نشان‌دهنده‌ی این باشد که مهاجمان یک موجودی فراوان از حساب‌های هک‌شده دارند و بنابراین از هرکدام از آن‌ها به‌صورت یک‌بار مصرف استفاده می‌کنند.

محققان بر این باورند که این کمپین از بات‌نت Necurs برای ارسال اسپم استفاده می‌کند، کارشناسان دریافتند که دانلودرهای استفاده شده توسط مهاجمان شبیه به آن‌هایی هستند که توسط این بات‌نت قبلا استفاده شده‌اند. Forcepoint تاکید کرده است که حجم اسپم مربوط به این کمپین در مقایسه با سایر کمپین‌های Necurs بسیار کم بوده، و در این کمپین فقط ۹۵۰۰ ایمیل ارسال شده است، این درحالی است که در دیگر کمپین‌ها از طریق این بات‌نت میلیون‌ها ایمیل ارسال می‌شود.

یکی دیگر از ویژگی‌های این کمپین استفاده از سرورهای FTP برای دانلود نرم‌افزارهای مخرب است.

مجرمان سایبری هرروزه متدهای حملات خود را برای رسیدن به میزان آلودگی بیشتر به‌روزرسانی می‌کنند. در این مورد سایت‌های FTP استفاده شده‌اند (شاید برای جلوگیری از شناسایی، چراکه در بسیاری از سیاست‌های شبکه FTPها به‌عنوان موقعیت‌های قابل اعتماد شناخته می‌شوند.)

گزارش فورس‌پوینت شامل IoCهای مربوط به این کمپین می‌باشد.