Авторы банковского трояна Dridex осваивают новые рынки

ESET представила исследование шифратора FriedEx (BitPaymer), атаковавшего больницы Национальной службы здравоохранения Шотландии и другие организации. Анализ доказывает, что за созданием шифратора стоит кибергруппа, разработавшая банковский троян Dridex.

Dridex известен с 2014 года и является одной из наиболее сложных вредоносных программ в своей категории. Разработка Dridex продолжается – еженедельно выходят новые версии бота, периодически появляются крупные обновления. Так, в начале 2017 года вышла версия Dridex с поддержкой техники инжекта Atom Bombing, позднее – с использованием уязвимости нулевого дня в Microsoft Word. Последняя версия Dridex 4.80 датирована 14 декабря 2017 года. 

Шифратор FriedEx привлек внимание исследователей безопасности в июле 2017 года. Вредоносная программа используется в атаках на крупные компании и финансовые организации и доставляется путем RDP-брутфорса. FriedEx шифрует каждый файл с помощью случайно сгенерированного ключа RC4.  

В декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство кода с Dridex. Детальное исследование выявило, что FriedEx использует те же методы сокрытия информации о поведении, что подтвердило гипотезу – два семейства вредоносных программ созданы одними и теми же авторами. 

Так, во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx. 

Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах одной кодовой базы или статической библиотеки. 

Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге. 

Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках – всего несколько минут, это позволяет предположить, что авторы одновременно компилировали оба проекта. 

Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Однако сам по себе этот факт не может служить доказательством, поскольку этот упаковщик замечен и в других семействах вредоносных программ, включая QBot, Emotet и Ursnif. 

Помимо очевидного сходства с Dridex, специалисты ESET обнаружили новую, ранее не задокументированную 64-битную версию шифратора FriedEx. 

По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя банковский троян, а также пополнили «портфолио» шифратором. Кибергруппа легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории. 

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: ПО, Безопасность

наверх
 
 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

17.10.2018 Инновации в России: фестиваль форматов

16.10.2018 Цифровая трансформация: пора налить воду в бассейн

16.10.2018 На «ПРОФ-IT» показали отечественные интегрированные решения

15.10.2018 Россияне распробовали бесконтактные платежи

14.10.2018 Великий Новгород хочет стать цифровым регионом

09.10.2018 Информационная безопасность сбавит темы роста

04.10.2018 Цифровой опыт разочаровывает пользователей

03.10.2018 Microsoft обновляет Windows 10 и поднимает цену на Office 365

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода