美国网络服务器上的恶意软件家族已经在多个大规模网络钓鱼活动中传播

研究人员最近在美国发现了一件不寻常的事，在美国注册的十多台服务器上，托管着10个不同的恶意软件家族！美国执法机构一旦发现这种情况就会迅速查封服务器，但这么多服务器居然成了漏网之鱼!

据外媒报道，研究人员发现10个不同的恶意软件家族托管在美国注册的十多台服务器上，它们通过疑似Necurs的僵尸网络进行传播。网络安全公司Bromium的研究人员表示，他们在2018年5月至2019年3月期间一直监测与该基础设施相关的活动。

这10个恶意软件包括5个银行木马家族（Dridex、Gootkit、IcedID、Nymaim和Trickbot）、2个勒索软件变种（Gandcrab和Hermes），以及3个信息窃取器（Fareit、Neutrino和Azorult）。其中有11台服务器属于一家位于美国内华达州的公司，该公司提供VPS托管服务。

在美国的基础设施上发现这些恶意软件是不寻常的，因为美国执法机构通常会在发现恶意基础设施存在时迅速查封它们。

网络安全研究人员表示，服务器上的恶意软件家族已经在多个大规模网络钓鱼活动中传播。

电子邮件和托管已与命令与控制系统分离，这表明这些服务器被不同的组织使用，其中一些负责电子邮件和托管，而另一些负责管理恶意软件。

在追踪了与恶意基础设施相关的垃圾邮件和钓鱼活动后，Bromium表示，在所有检测到的攻击中，电子邮件是主要的攻击载体，包含恶意VBA的Microsoft Word文件是首选的武器化文档。最受欢迎的钓鱼诱饵是求职申请，其次是支付请求。网络钓鱼活动以美国为主要目标，诱饵邮件通常假冒成著名的美国机构。

此外，恶意软件样本的快速编译以及托管速度表明，恶意软件开发商和分销基础设施运营商之间存在着某些联系。比如Hermes和Dridex的编译和托管只需几个小时，最长不超过24小时。

研究人员表示，此次活动中的用户名和密码是“username”和“password”，提交文件的名为“test1.exe”，所以很可能只是一次试验。而且Dridex活动停滞了几个月，这可能预示着更大规模的Dridex活动即将到来。