网络攻击者利用对FTP服务器的信任

分发TheDRidexbanking Trojan变体的短期电子邮件活动表示网络犯罪分子正在使用受损的FTP站点来下载恶意文件。

根据ForcePoint Security Labs的研究人员，使用FTP站点可能会尝试避免被电子邮件网关检测到通过电子邮件网关检测到的事实，并根据ForcePoint Security Labs的研究人员将许多网络策略考虑FTPS作为可信地点的事实。

该技术还暴露受损FTP站点的凭证。“电子邮件中的FTP凭据的存在突出了定期更新密码的重要性，”研究人员在博客文章中表示，只要凭证保持不变，就可以通过不同的行为者多次滥用受损帐户。

研究人员观察到恶意电子邮件于2018年1月17日分发，仍然活跃大约七个小时。

“通过第二，第三和第四个受影响的TLD，该电子邮件主要发送到.com顶级域名（TLD），这表明主要区域目标分别是法国，英国和澳大利亚，”研究人员表示。

用于将收件人窃取Dridex Variant窃取烘焙凭证的电子邮件的所有发件人域都受到影响，并使电子邮件看起来更加令人信服，所包括的发件人名称包括[电子邮件保护]，[电子邮件保护]，[电子邮件受保护的]和[电子邮件受到保护]

该活动使用两种类型的文件。第一个是滥用DDE（Windows动态数据交换）以执行shell命令下载恶意软件的文档，第二种类型是带有下载Dridex的宏的XLS文件。

安全研究人员观察到，受损服务器没有运行相同的FTP软件，并得出结论，它可能是凭证以其他方式受到损害。

他们还注意到攻击者似乎没有担心将他们滥用的FTP站点的凭据暴露，可能会使已经受损的网站揭示其他群体进一步滥用。

“这可能表明袭击者提供了丰富的受损账户供应，因此将这些资产视为一次性，”他们说。“同样，如果多个演员使用受损的网站，它也会使安全专业人员和执法更加困难。”

他们说，广告系列的多个属性建议与NeCurs Botnet的连接。这些包括用于分发的域已被列为以前的Necurs广告系列中使用的损害域，该Necurs在历史上众所周知，文档下载者与过去的Necurs类似的人相似，以及下载XLS文件的位置还遵循传统的NECURUR格式。

然而，研究人员表示，与典型的NECURS活动相比，这种特殊运动的数量非常低。“Necurs通常会向每次广告系列发送邮件，而这项广告系列的录制总数超过9,500封电子邮件，”他们说。

“虽然有一个竞选属性，但建议它来自NeCurs，竞选人数的大小是或多或少”平均“。给予Necurs的典型协会与非常大的竞选活动，这仍然是一个神秘的东西。“

研究人员还指出，使用恶意链接的恶意附件的恶意链接来分发Dridex，播放了Necurs。“但是切换到基于FTP的下载URL是一个意想不到的变化，”他们说。

欧洲金融服务董事总经理Brooks Wallace反欺诈和安全公司雕刻骑士表示，Dridex看似无穷无尽的进化能力使其成为使用网上银行的任何人的真正问题。

“鉴于偷窃银行登录批发的效力，凭借其效力，它也没有完全受到金融服务公司本身的安全队伍。”“这证明了这种柔性恶意软件平台的危险，这意味着良好的罪犯团队可以继续在甚至最安全意识的网上银行家使用的反恶意软件和反病毒解决方案领先一步。

“然而，绝大多数在线银行客户都没有使用任何东西来保护他们的登录和交易，让他们的账户为犯罪分子开放，有一个大的发薪日。

“危险 - 最终昂贵 - 像这样的恶意软件是不断掠夺账户，欺诈和安全措施需要更聪明地保护银行和客户免受大规模欺诈和安全损失。”