Cyber Crooks Store 10 Malware Families on US Web Servers

今年4月，在对可用威胁数据进行审查时，一家网络安全公司注意到，在美国10个网络服务器上托管了大量恶意软件系列。拥有这些威胁的角色也使用这些服务器发起网络钓鱼攻击，利用社交工程技术通过恶意Microsoft Word文档感染计算机中的恶意软件。损坏的电子邮件附件包含恶意Visual Basic应用程序（VBA）宏，它们在目标计算机上加载危险的有效负载。

有问题的威胁系列包括五个银行恶意软件系列 - Gootkit ， Nymaim ， IcedID ， Trickbot和Dridex ;三组数据窃取者 - Neutrino ， Fareit和AZORult ;和两个勒索软件 - 爱马仕和GandCrab 。通常，一个恶意软件系列用作另一个恶意软件系列的滴管。

研究人员在2019年3月发现了一台托管Dridex的服务器。从之前的研究中，该公司知道自2016年以来，Dridex背后的网络骗子正在使用Necurs僵尸网络来分发恶意软件，而Dridex活动与之间的一些相似之处还观察了推动其他一些恶意软件威胁的广告系列。鉴于这些事实，研究人员提出了一个假设，即Necurs背后的cybergang将网络服务器作为其网络的一部分用于恶意软件分发。这个假设也出现在Necurs僵尸网络运营商多年来引入的某些变化中。例如，在2018年6月，僵尸网络中添加了新功能，例如Necurs突然启用了XMRig加密挖掘器，以及推送可能提取电子邮件地址的恶意脚本。几个月后，研究人员发现使用PUB文件发布了分布式Flawed Ammyy远程访问木马。

与此同时，关于Dridex运营商的新数据也出现了。显然，同样的攻击者在2018年1月创建了一个名为FriedEx的勒索软件菌株。然后，一年后，研究人员发现Dridex，BitPaymer，Emotet和Ursnif都与类似的装载器有关。

员工关于如何识别网络钓鱼电子邮件的定期教育活动可以帮助组织保护他们的系统免受通过垃圾邮件活动分发的恶意软件威胁。另一种保护手段是杠杆工具，例如VBA编辑器，可以提取和分析附加的Microsoft Office文档中包含的可能包含恶意有效负载的宏代码。