Dridex攻击利用Office 0day漏洞

Proofpoint公司的研究人员告警称，Dridex银行木马利用最近披露的Office 0day漏洞攻陷受害者计算机。

这个由迈克菲和火眼公司披露的0day漏洞能让攻击者在受攻陷计算机上执行代码。攻击者能够利用Office的OLE功能创建一个恶意RTF文档跟托管在远程服务器上的HTA文件关联，执行恶意VBScript。

研究人员指出，这个0day漏洞被用于通过邮件发送给主要来自澳大利亚的数百万受害者的恶意文档中，并最终将Dridex木马安装到受攻陷系统上。邮件声称来自“<[device]@[recipient's domain]>”，其中 [device] 可能是“copier”、”documents”、“noreply”、“no-reply”、或 “scanner”。所有的邮件主题都是使用”Scan Data”作为主题，而附件的RTF文档被命名为”Scan_xxxx.doc”或”Scan_xxxx.pdf”。

研究人员指出，虽然这次攻击并不依赖于复杂的社工，但邮件域名和常见的文档数字化版本形式让这种诱骗变得非常具有说服力。当打开恶意文档时，这个利用代码会执行一系列行为最终将Dridex僵尸网络ID 7500安装到受害者系统中。研究人员发现这个利用代码不需要用户交互就能起作用：即使用户看到关于文档包含“可能引用其他文档的链接”的信息，系统也会被攻陷。

这种Dridex实例是通过100多份已知的银行注入和多种其它流行应用程序和网络目的地等观察到的。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。