关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

一封钓鱼邮件带来著名的Dridex银行木马最新变种
时间:2019.07.02   作者:安全客   阅读:182

Dridex是一款著名的银行木马,主要窃取受害者网上银行凭证,此银行木马主要通过钓鱼邮件定向发送钓鱼邮件给受害者,欺骗受害者打开邮件中的附件文档,感染银行木马,盗取相关信息,在2015年,Dridex造成的损失就超过4000万美元,此银行木马非常活跃,背后的运营团队也在不断更新的技术,改进Payload加载方载逃避各种安全软件的检测,使其变的越来越复杂,去年1月份,FacePoint团队的安全研究人员发现Dridex还扩大了感染链,通过FTP网站进行传播……

最近国外安全研究人员,发现此银行木马更新了,最新变种通过钓鱼邮件进行传播,邮件内容,如下所示:

附件中有一个加密的doc文档,文档密码为:pass170619,打开文档,里面包含恶意的宏代码,如下所示:

XSL恶意程序从服务器下载Dirdex银行木马安装程序到TEMP目录,如下所示:

恶意服务器URL,如下所示:

hxxps://tor2net.com/udfgh87898df87gdfug89df/servicewn.exe

银行木马安装程序核心功能剖析

1.解密执行到ShellCode代码处,如下所示:

2.获取VirtualAlloc函数地址,分配相应的内存空间,如下所示:

3.然后调用解密函数,解密出银行木马安装程序核心Payload,如下所示:

解密出来的Payload,如下所示:

4.最后跳转到Payload代码,执行Payload,安装银行木马,如下所示:

5.安装过程代码,如下所示:

此Dirdex银行木马变种,主要利用白加黑的方式加载Payload,以逃避安全软件的检测,并将白程序设置为计划任务自启动项,如下所示:

设置为主机自启动项目,如下所示:

生成的相应白加黑文件目录,如下所示:

通过正常程序加载同目录下的恶意DLL文件,执行银行木马主体功能,如下所示:

以上为本文全部内容,更多IDC行业资讯,服务器知识,请关注锐讯网络

 

  Dridex银行木马,网络安全

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项