Saldo.ru
Новости информационных агентств / Авторы банковского трояна Dridex осваивают новые рынки, ESET
23 апреля 2024, Вторник
Вход для своих
Стань своим на Saldo.ru
Забыли пароль?
Анонсы изданий
Семинары, конференции
Книги
Публикации
Служба занятости
Справочная информация
Вы здесь:
Saldo.ru
 / 
Бухгалтерские новости
 / Новости информационных агентств
Новости информационных агентств
AK&M
|
ИД "Главбух"
|
Проверка в компании
06/02/2018
Авторы банковского трояна Dridex осваивают новые рынки, ESET
ESET представила исследование шифратора FriedEx (BitPaymer), атаковавшего больницы Национальной службы здравоохранения Шотландии и другие организации. Анализ доказывает, что за созданием шифратора стоит кибергруппа, разработавшая банковский троян Dridex. Dridex известен с 2014 года и является одной из наиболее сложных вредоносных программ в своей категории. Разработка Dridex продолжается - еженедельно выходят новые версии бота, периодически появляются крупные обновления. Так, в начале 2017 года вышла версия Dridex с поддержкой техники инжекта Atom Bombing, позднее - с использованием уязвимости нулевого дня в Microsoft Word. Последняя версия Dridex 4.80 датирована 14 декабря 2017 года.Шифратор FriedEx привлёк внимание исследователей безопасности в июле 2017 года. Вредоносная программа используется в атаках на крупные компании и финансовые организации и доставляется путём RDP-брутфорса. FriedEx шифрует каждый файл с помощью случайно сгенерированного ключа RC4. В декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство кода с Dridex. Детальное исследование выявило, что FriedEx использует те же методы сокрытия информации о поведении, что подтвердило гипотезу - два семейства вредоносных программ созданы одними и теми же авторами. Так, во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID - строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx. Ещё одна общая черта - одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах одной кодовой базы или статической библиотеки.Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге. Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках - всего несколько минут, это позволяет предположить, что авторы одновременно компилировали оба проекта. Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Однако сам по себе этот факт не может служить доказательством, поскольку этот упаковщик замечен и в других семействах вредоносных программ, включая QBot, Emotet и Ursnif.Помимо очевидного сходства с Dridex, специалисты ESET обнаружили новую, ранее не задокументированную 64-битную версию шифратора FriedEx. По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя банковский троян, а также пополнили "портфолио" шифратором. Кибергруппа легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории. ESET - разработчик антивирусного ПО и эксперт по защите от киберугроз. Решения ESET NOD32 представлены в 180 странах, в России - с 2005 года.
AK&M
Обратная связь