Saldo.ru

Новости информационных агентств / Авторы банковского трояна Dridex осваивают новые рынки, ESET

21 августа 2018, Вторник
Мастер-СальдоSaldo.ru: Бухгалтерский сервер Вход для своих
Стань своим на Saldo.ru
Забыли пароль?

Вы здесь: Saldo.ru / Бухгалтерские новости / Новости информационных агентств

Новости информационных агентств


06/02/2018

Авторы банковского трояна Dridex осваивают новые рынки, ESET

ESET представила исследование шифратора FriedEx (BitPaymer), атаковавшего больницы Национальной службы здравоохранения Шотландии и другие организации. Анализ доказывает, что за созданием шифратора стоит кибергруппа, разработавшая банковский троян Dridex. Dridex известен с 2014 года и является одной из наиболее сложных вредоносных программ в своей категории. Разработка Dridex продолжается - еженедельно выходят новые версии бота, периодически появляются крупные обновления. Так, в начале 2017 года вышла версия Dridex с поддержкой техники инжекта Atom Bombing, позднее - с использованием уязвимости нулевого дня в Microsoft Word. Последняя версия Dridex 4.80 датирована 14 декабря 2017 года.Шифратор FriedEx привлёк внимание исследователей безопасности в июле 2017 года. Вредоносная программа используется в атаках на крупные компании и финансовые организации и доставляется путём RDP-брутфорса. FriedEx шифрует каждый файл с помощью случайно сгенерированного ключа RC4. В декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство кода с Dridex. Детальное исследование выявило, что FriedEx использует те же методы сокрытия информации о поведении, что подтвердило гипотезу - два семейства вредоносных программ созданы одними и теми же авторами. Так, во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID - строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx. Ещё одна общая черта - одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах одной кодовой базы или статической библиотеки.Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге. Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках - всего несколько минут, это позволяет предположить, что авторы одновременно компилировали оба проекта. Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Однако сам по себе этот факт не может служить доказательством, поскольку этот упаковщик замечен и в других семействах вредоносных программ, включая QBot, Emotet и Ursnif.Помимо очевидного сходства с Dridex, специалисты ESET обнаружили новую, ранее не задокументированную 64-битную версию шифратора FriedEx. По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя банковский троян, а также пополнили "портфолио" шифратором. Кибергруппа легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории. ESET - разработчик антивирусного ПО и эксперт по защите от киберугроз. Решения ESET NOD32 представлены в 180 странах, в России - с 2005 года.

AK&M