Ursnif银行木马的新种类隐藏在Tor的C＆C服务器

Ursnif银行木马的新种类隐藏在Tor的C＆C服务器，名为Dreambot的新变种Ursnif被发现。

来自Proofpoint 的研究人员报告在新版本的 Ursnif 银行累计遭受其源代码的变化，现在使用 Tor 匿名网络上的服务器承载来隐藏其指挥和控制的基础设施上。

Ursnif，也被称为Gozi ISFB，是原来的Gozi银行木马，进行了它的源代码2014网上泄露和其上的许多其他银行木马建成，如GozNym的一个分支。

Ursnif不是一次性的Gozi变量，多年来不断演变不断接受新的更新。

Ursnif Dreambot 变种引入Tor和P2P支持

其中一个最近的更新在2016七月检测到，Proofpoint的研究人员称它为Ursnif Dreambot，或Dreambot。

该变种运行的Ursnif的模式，改变了一些默认行为。 Dreambo t删除用于确定C＆C服务器的位置域生成算法（DGA），并用硬编码的网址替换它，一个指向的URL在公共互联网上和两个URL指向
Tor-based .onion网站。

当然Dreambot在安装过程中，木马下载并安装Tor客户端以便联系的C＆C服务器本身。 Proofpoint说，它看到了Dreambot2.14.845这个C＆C的配置变化。

在以后的版本中木马再次进化，这一次它通过P2P一个通信取代了Tor-based的基础架构。

Proofpoint指出，其研究人员已经看到了更多的Ursnif的版本都已经在广泛被使用。

Dreambot通过分发垃圾邮件同时利用漏洞攻击工具包

Ursnif 网络团伙一直难以预测其分布方法随着其发展计划，使用多种技巧来传递其有效载荷。

骗子使用含有启用宏的Office文档的垃圾邮件，垃圾邮件包含了下载并安装了木马，并使用攻击工具包，从像Niteris和Spartan未知数较著名的钓鱼与核过多JavaScript文件所附ZIP文件的EKs。

“Dreambot是我们最近所看到的最活跃的银行木马之一”Proofpoint的工作人员注意到。 “特别是对于Tor-enabled版本，在受感染的机器Dreambot在网络层检测是特别困难，从而和IT部门一起捍卫新的挑战。”

文章来自绿盟(xDowns.com)转载请注明来路。

上一篇文章：安卓7.0似乎提供从iOS设备移植的相关说明 []

文章正文