FBI已经结盟了一些安全厂商阻止Dridex网银木马的操纵。

在Dridex木马所用的多指令与控制(C&C)服务器已经被撤下后，联邦调查局获得了法院下达的协调查封行动。该查封行动旨在削弱恶意软件的控制网络，这些控制网络用于将窃取的信息上传到网络上并用来钓鱼，以及推送指令和软件配置到僵尸网络的僵尸节点上。在所谓的Shadowserver基金会组织的控制之下，被攻击的流量被重新路由到sinkhole网络通道。

此外，Moldovan Andrei Ghinkul已经被指控充当BUGAT / Dridex的背后主谋而涉嫌多重犯罪。 Ghinkul(其中联邦调查局声称叫做AKA Smilex)，30岁，于八月下旬在塞浦路斯被逮捕但那时没有透露姓名。作为美国司法部的声明解释，美方正在寻找将其引渡的犯罪阴谋、意图为诈骗的未经授权的计算机访问，以及计算机破坏、电信欺诈和银行欺诈指控。

在最近几个月，Dridex已经走出了ZeuS的影子成为最流行的网银木马之一。这已违反了横跨全球的27个国家数以万计的组织，并将为英国超过2千万英镑(约£30500，000)的损失，以及美国的1千万美金以上的损失负责。

该网络犯罪工具捆绑了各种按键记录和网络注入的功能，已经被世界各地数以万计的计算机感染了，它能够盗窃财务凭证，证书，cookies，实施网上银行诈骗。 Dridex ——之前在2014年7月被普遍认为是网银木马Cridex的后代——对英国，美国和法国的影响尤其严重。

Dridex是通过垃圾邮件以各种不同的伪装散布的。最初，利用了安全漏洞，作为垃圾邮件附件。然而最近，攻击者已经使用了微软Word的宏指令来感染系统。当目标打开Word文档后，宏指令将试图下载并运行Dridex加载器，从而安装其它僵尸网络组件。

Dridex僵尸网络是一个从属关系模式，且僵尸网络本身被划分成13个子僵尸网络，而每个附属给出访问其自己的僵尸的子集。然后每个子僵尸网络的P2P网络中毒，并重定向到受感染的系统的sinkhole网络通道，这意味着Dridex僵尸网络所感染的计算机不仅仅是犯罪分子一开始掌握的那些了。被感染的机器仍然在感染其他的所以需要尽快进行清理操作。美国国家互联网应急中心(US CERT)已经开始着手这一方面了。

Dridex有许多和早期僵尸网络(比如Gameover Zeus)相同的技术和策略，它最近的成功至少可以部分地解释Gameover Zeus僵尸网络早期在市场上拉开的技术差距。

“Gameover Zeus僵尸网络在2014年6月的行为，作为Operation Tovar的一部分给网络犯罪团体留下了空子，尤其是对于那些金融机构，”戴尔安全工作公司反威胁小组的布Brett Stone-Gross解释说。 “为了填补这一空白，黑客创造了新的僵尸网络，其中就包括Dridex和Dyre。 CTU的研究人员观察到Gameover Zeus和Dridex和Dyre之间在策略上，技术上和程序上(TTPs)有显著的重合，这说明以前的下属公司已经搬迁到新的僵尸网络的企业，并继续开展他们的诈骗活动。然而，无论是Dridex还是Dyre都已经能够媲美Gameover Zeus的复杂性、规模和当年的成功。”

作者：sookie233

来源：51CTO