研究人員最近在美國發(fā)現(xiàn)了一件不尋常的事，在美國注冊的十多臺服務器上，托管著10個不同的惡意軟件家族！美國執(zhí)法機構一旦發(fā)現(xiàn)這種情況就會迅速查封服務器，但這么多服務器居然成了漏網之魚!

據(jù)外媒報道，研究人員發(fā)現(xiàn)10個不同的惡意軟件家族托管在美國注冊的十多臺服務器上，它們通過疑似Necurs的僵尸網絡進行傳播。網絡安全公司Bromium的研究人員表示，他們在2018年5月至2019年3月期間一直監(jiān)測與該基礎設施相關的活動。

這10個惡意軟件包括5個銀行木馬家族（Dridex、Gootkit、IcedID、Nymaim和Trickbot）、2個勒索軟件變種（Gandcrab和Hermes），以及3個信息竊取器（Fareit、Neutrino和Azorult）。其中有11臺服務器屬于一家位于美國內華達州的公司，該公司提供VPS托管服務。

在美國的基礎設施上發(fā)現(xiàn)這些惡意軟件是不尋常的，因為美國執(zhí)法機構通常會在發(fā)現(xiàn)惡意基礎設施存在時迅速查封它們。

網絡安全研究人員表示，服務器上的惡意軟件家族已經在多個大規(guī)模網絡釣魚活動中傳播。

電子郵件和托管已與命令與控制系統(tǒng)分離，這表明這些服務器被不同的組織使用，其中一些負責電子郵件和托管，而另一些負責管理惡意軟件。

在追蹤了與惡意基礎設施相關的垃圾郵件和釣魚活動后，Bromium表示，在所有檢測到的攻擊中，電子郵件是主要的攻擊載體，包含惡意VBA的Microsoft Word文件是首選的武器化文檔。最受歡迎的釣魚誘餌是求職申請，其次是支付請求。網絡釣魚活動以美國為主要目標，誘餌郵件通常假冒成著名的美國機構。

此外，惡意軟件樣本的快速編譯以及托管速度表明，惡意軟件開發(fā)商和分銷基礎設施運營商之間存在著某些聯(lián)系。比如Hermes和Dridex的編譯和托管只需幾個小時，最長不超過24小時。

研究人員表示，此次活動中的用戶名和密碼是“username”和“password”，提交文件的名為“test1.exe”，所以很可能只是一次試驗。而且Dridex活動停滯了幾個月，這可能預示著更大規(guī)模的Dridex活動即將到來。