Dridex(又稱 Bugat & Cridex)是一種資訊竊取程式,能從受感染的機器上蒐集敏感資料,並散播和執行惡意模組,它是一個被稱為 Evil Corp(又稱 Indrik Spider)的電子犯罪組織的傑作。
在此之前,該惡意軟體專門針對 Windows 系統,藉由釣魚郵件發送啟用巨集的微軟 Excel 文件,來部署惡意封包負載。如今,該惡意軟體變種開始透過從未被紀錄過的新感染手法,將攻擊矛頭指向蘋果 macOS 作業系統。
趨勢科技對 Dridex 惡意軟體樣本的分析中包含 Mach-O 可執行檔,其中最早的檔案已於 2019 年 4 月提交給 VirusTotal。自此之後,在實際網路環境中又陸續發現 67 個惡意軟體工件,其中一些是在 2022 年 12 月不久前發現的。基本上,這類工件包含一個惡意嵌入式文件(2015 年首次被偵到測),而文件中內含能自動開啟 Word 文件的 Auto-Open 巨集。
需要特別闡述的,Mach-O 可執行檔被設計透過從嵌入文件中複製的惡意巨集碼,來搜尋和覆蓋當前使用者目錄(~/User/{user name})中所有的 .doc 文件檔。雖然微軟 Word 中的巨集功能是預設關閉的,但惡意軟體會覆蓋當前使用者的所有文件檔案(包括乾淨的檔案),這使得使用者更難判定檔案是否是惡意的。
目前這個 Dridex 變體對 macOS 使用者的影響非常小,因為該惡意負載是一個. exe 檔,它並不相容於 macOS 環境。儘管如此,它仍然能將文件檔案覆蓋成 Dridex 惡意巨集的載體。所以後續的發展及可能的風險,仍需持續密切關注。
(首圖來源:趨勢科技)
科技新報粉絲團
加入好友
訂閱免費電子報
