FBI已經(jīng)結(jié)盟了一些安全廠商阻止Dridex網(wǎng)銀木馬的操縱。

在Dridex木馬所用的多指令與控制(C&C)服務(wù)器已經(jīng)被撤下后，聯(lián)邦調(diào)查局獲得了法院下達(dá)的協(xié)調(diào)查封行動。該查封行動旨在削弱惡意軟件的控制網(wǎng)絡(luò)，這些控制網(wǎng)絡(luò)用于將竊取的信息上傳到網(wǎng)絡(luò)上并用來釣魚，以及推送指令和軟件配置到僵尸網(wǎng)絡(luò)的僵尸節(jié)點(diǎn)上。在所謂的Shadowserver基金會組織的控制之下，被攻擊的流量被重新路由到sinkhole網(wǎng)絡(luò)通道。

[[152304]]

此外，Moldovan Andrei Ghinkul已經(jīng)被指控充當(dāng)BUGAT / Dridex的背后主謀而涉嫌多重犯罪。 Ghinkul(其中聯(lián)邦調(diào)查局聲稱叫做AKA Smilex)，30歲，于八月下旬在塞浦路斯被逮捕但那時沒有透露姓名。作為美國司法部的聲明解釋，美方正在尋找將其引渡的犯罪陰謀、意圖為詐騙的未經(jīng)授權(quán)的計算機(jī)訪問，以及計算機(jī)破壞、電信欺詐和銀行欺詐指控。

在最近幾個月，Dridex已經(jīng)走出了ZeuS的影子成為最流行的網(wǎng)銀木馬之一。這已違反了橫跨全球的27個國家數(shù)以萬計的組織，并將為英國超過2千萬英鎊(約£30500，000)的損失，以及美國的1千萬美金以上的損失負(fù)責(zé)。

該網(wǎng)絡(luò)犯罪工具捆綁了各種按鍵記錄和網(wǎng)絡(luò)注入的功能，已經(jīng)被世界各地數(shù)以萬計的計算機(jī)感染了，它能夠盜竊財務(wù)憑證，證書，cookies，實(shí)施網(wǎng)上銀行詐騙。 Dridex ——之前在2014年7月被普遍認(rèn)為是網(wǎng)銀木馬Cridex的后代——對英國，美國和法國的影響尤其嚴(yán)重。

Dridex是通過垃圾郵件以各種不同的偽裝散布的。最初，利用了安全漏洞，作為垃圾郵件附件。然而最近，攻擊者已經(jīng)使用了微軟Word的宏指令來感染系統(tǒng)。當(dāng)目標(biāo)打開Word文檔后，宏指令將試圖下載并運(yùn)行Dridex加載器，從而安裝其它僵尸網(wǎng)絡(luò)組件。

Dridex僵尸網(wǎng)絡(luò)是一個從屬關(guān)系模式，且僵尸網(wǎng)絡(luò)本身被劃分成13個子僵尸網(wǎng)絡(luò)，而每個附屬給出訪問其自己的僵尸的子集。然后每個子僵尸網(wǎng)絡(luò)的P2P網(wǎng)絡(luò)中毒，并重定向到受感染的系統(tǒng)的sinkhole網(wǎng)絡(luò)通道，這意味著Dridex僵尸網(wǎng)絡(luò)所感染的計算機(jī)不僅僅是犯罪分子一開始掌握的那些了。被感染的機(jī)器仍然在感染其他的所以需要盡快進(jìn)行清理操作。美國國家互聯(lián)網(wǎng)應(yīng)急中心(US CERT)已經(jīng)開始著手這一方面了。

Dridex有許多和早期僵尸網(wǎng)絡(luò)(比如Gameover Zeus)相同的技術(shù)和策略，它最近的成功至少可以部分地解釋Gameover Zeus僵尸網(wǎng)絡(luò)早期在市場上拉開的技術(shù)差距。

“Gameover Zeus僵尸網(wǎng)絡(luò)在2014年6月的行為，作為Operation Tovar的一部分給網(wǎng)絡(luò)犯罪團(tuán)體留下了空子，尤其是對于那些金融機(jī)構(gòu)，”戴爾安全工作公司反威脅小組的布Brett Stone-Gross解釋說。 “為了填補(bǔ)這一空白，黑客創(chuàng)造了新的僵尸網(wǎng)絡(luò)，其中就包括Dridex和Dyre。 CTU的研究人員觀察到Gameover Zeus和Dridex和Dyre之間在策略上，技術(shù)上和程序上(TTPs)有顯著的重合，這說明以前的下屬公司已經(jīng)搬遷到新的僵尸網(wǎng)絡(luò)的企業(yè)，并繼續(xù)開展他們的詐騙活動。然而，無論是Dridex還是Dyre都已經(jīng)能夠媲美Gameover Zeus的復(fù)雜性、規(guī)模和當(dāng)年的成功。”