基于虚拟化的安全公司溴化的研究人员表示,基于美国的Web服务器正在通过大规模网络钓鱼活动来托管和分发恶意软件,包括五个银行特洛伊木马,三个信息窃贼和两个赎金家庭。
2018年5月至2019年5月至2019年5月之间的公共数据和溴威胁数据分析显示,恶意威胁来自于名称PonyNet中注册的Web服务器,并托管在内华达拉斯维加斯的Buyvm Datentres。
根据纽约人的说法,BuyVM由Frantech Solutions,这是一个所谓的防弹托管提供商,该提供商与远方网站有联系。
至少10种类型的恶意软件被追溯到服务器 - Dridex,Gootkit,Icedid,Nymaim,Trickbot,Foreit,Neutrino,Azorult,Gandcrab和Hermes。
该活动中使用的电子邮件和受感染的文件都是所有英语和针对美国公司的,其中42%的受感染文件被声称是招聘申请或CVS,另外21%提交为无偿发票。
同一服务器正在多次重复使用,无论是为同一广告系列的第一级和第二级恶意软件,还是每周托管不同的广告系列。研究人员表示,一台Web服务器托管并分发了六个不同的恶意软件系列,超过40天。
分布方法与策略,技术和程序之间的相似性使得溴研究人员认为这些服务器是臭名昭着的Necurs僵尸网络的一部分。
研究人员表示,找到了各种恶意软件和分离托管和分配的指挥和控制,表明存在单独的威胁演员。他们认为一个是用于开发和运营恶意软件,另一个是执行网络钓鱼活动。
研究人员表示,该服务器代表了亚马逊履行中心的恶意软件,这表达了一个非常密切的关系,使得恶意软件可以在几个小时内开发并交付给收件箱。
研究人员表示,这种网络犯罪模式为美国以外的黑客提供了一个基于美国以外的禁止地理块,避免了近朝鲜,俄罗斯或伊朗等禁区的内容,确保他们的恶意软件可以达到其预定目的地。
从恶意软件捕获并呈现无害的溴安全容器中获取威胁数据,这允许研究人员观察恶意软件的行为,它尝试执行的操作,它试图访问的数据以及它来自哪里。
研究人员表示,该研究员表明了网络钓鱼和感染企业系统的持久效力。增加了网络钓鱼电子邮件变得更加难以解决。
他们建议捍卫这些威胁,组织应该采用分层网络安全防御,该防御使用申请隔离来包含恶意威胁,同时提供有关黑客意图的富有威胁遥测,并使员工能够在不担心成为源头的情况下继续雇员违规行为。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。