Cyber Crooks Store 10 Malware Families on US Web Servers

今年4月，在對可用威脅數據進行審查時，一家網絡安全公司注意到，在美國10個網絡服務器上託管了大量惡意軟件系列。擁有這些威脅的角色也使用這些服務器發起網絡釣魚攻擊，利用社交工程技術通過惡意Microsoft Word文檔感染計算機中的惡意軟件。損壞的電子郵件附件包含惡意Visual Basic應用程序（VBA）宏，它們在目標計算機上加載危險的有效負載。

有問題的威脅系列包括五個銀行惡意軟件系列 - Gootkit ， Nymaim ， IcedID ， Trickbot和Dridex ;三組數據竊取者 - Neutrino ， Fareit和AZORult ;和兩個勒索軟件 - 愛馬仕和GandCrab 。通常，一個惡意軟件系列用作另一個惡意軟件系列的滴管。

研究人員在2019年3月發現了其中一台託管Dridex的服務器。從之前的研究中，該公司知道自2016年以來，Dridex背後的網絡騙子正在使用Necurs殭屍網絡來分發惡意軟件，而Dridex活動與之間的一些相似之處還觀察了推動其他一些惡意軟件威脅的廣告系列。鑑於這些事實，研究人員提出了一個假設，即Necurs背後的cybergang將網絡服務器作為其網絡的一部分用於惡意軟件分發。這個假設也出現在Necurs殭屍網絡運營商多年來引入的某些變化中。例如，在2018年6月，殭屍網絡中添加了新功能，例如Necurs突然啟用了XMRig加密挖掘器，以及推送可能提取電子郵件地址的惡意腳本。幾個月後，研究人員發現使用PUB文件發布了分佈式Flawed Ammyy遠程訪問木馬。

與此同時，關於Dridex運營商的新數據也出現了。顯然，同樣的攻擊者在2018年1月創建了一個名為FriedEx的勒索軟件菌株。然後，一年後，研究人員發現Dridex，BitPaymer，Emotet和Ursnif都與類似的裝載器有關。

員工關於如何識別網絡釣魚電子郵件的定期教育活動可以幫助組織保護他們的系統免受通過垃圾郵件活動分發的惡意軟件威脅。另一種保護手段是槓桿工具，例如VBA編輯器，可以提取和分析附加的Microsoft Office文檔中包含的可能包含惡意有效負載的宏代碼。