Eset: авторы банковского трояна Dridex осваивают новые рынки
06 фев 2018 16:40 #65906
от ICT
ICT создал тему: Eset: авторы банковского трояна Dridex осваивают новые рынки
Eset представила исследование шифратора FriedEx (BitPaymer), атаковавшего больницы Национальной службы здравоохранения Шотландии и другие организации. Анализ доказывает, что за созданием шифратора стоит кибергруппа, разработавшая банковский троян Dridex. Dridex известен с 2014 года и является одной из наиболее сложных вредоносных программ в своей категории. Разработка Dridex продолжается – еженедельно выходят новые версии бота, периодически появляются крупные обновления. Так, в начале 2017 года вышла версия Dridex с поддержкой техники инжекта Atom Bombing, позднее – с использованием уязвимости нулевого дня в Microsoft Word. Последняя версия Dridex 4.80 датирована 14 декабря 2017 года. Шифратор FriedEx привлек внимание исследователей безопасности в июле 2017 года. Вредоносная программа используется в атаках на крупные компании и финансовые организации и доставляется путем RDP-брутфорса. FriedEx шифрует каждый файл с помощью случайно сгенерированного ключа RC4. В декабре 2017 года эксперты Eset изучили один из образцов FriedEx и обнаружили сходство кода с Dridex. Детальное исследование выявило, что FriedEx использует те же методы сокрытия информации о поведении, что подтвердило гипотезу – два семейства вредоносных программ созданы одними и теми же авторами. Так, во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx. Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах одной кодовой базы или статической библиотеки. Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге. Кроме того, специалисты Eset обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках – всего несколько минут, это позволяет предположить, что авторы одновременно компилировали оба проекта. Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Однако сам по себе этот факт не может служить доказательством, поскольку этот упаковщик замечен и в других семействах вредоносных программ, включая QBot, Emotet и Ursnif. Помимо очевидного сходства с Dridex, специалисты Eset обнаружили новую, ранее не задокументированную 64-битную версию шифратора FriedEx. По мнению специалистов Eset, авторы Dridex сохраняют высокую активность, обновляя банковский троян, а также пополнили «портфолио» шифратором. Кибергруппа легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
В Сети активизировался «родственник» банковского трояна Zeus | 15.61 | Вторник, 15 декабря 2015 |
Программист, спасший мир от WannaCry, арестован в США за создание банковского трояна | 15.45 | Пятница, 04 августа 2017 |
Eset предупреждает о возвращении мобильного трояна BankBot | 13.51 | Вторник, 03 октября 2017 |
Eset поймала авторов трояна-шифратора CryptoFortress на плагиате | 13.37 | Понедельник, 23 марта 2015 |
Находить новые рынки сбыта становится всё труднее | 12.21 | Среда, 27 января 2016 |
ESET представляет новые версии корпоративных решений ESET NOD32 | 12.2 | Среда, 17 декабря 2014 |
"Газпром нефть" осваивает новые рынки вместе со стартапами | 12.08 | Понедельник, 22 июля 2019 |
Eset представит новую бизнес-версию решений Eset NOD32 на мероприятиях Eset Road Show | 10.09 | Пятница, 17 апреля 2015 |
Eset обнаружила новые компоненты крупнейшего ботнета | 9.7 | Среда, 15 ноября 2017 |
Eset изучила новые приемы группировки Oceanlotus | 9.7 | Четверг, 28 марта 2019 |