Dridex банктік торянының авторлары жаңа нарықтарды меңгеруде

Dridex 2014 жылдан бастап белгілі және өзінің санатындағы ең күрделі зиянды бағдарламалардың бірі болып табылады.Dridex әзірлеу жалғасуда – апта сайын боттың жаңа нұсқалары жарық көреді, мерзімді түрде ірі жаңартулар пайда болады. Осылай, 2017 жылдың басында Atom Bombing инжекта техникасының қолдауындағы Dridex нұсқасы, кейін - Microsoft Word-дағы нөлдік күннің осалдығын пайдалана отырып, пайда болды. Dridex 4.80 соңғы нұсқасы 2017 жылғы 14 желтоқсанда белгіленді.

FriedEx шифрлаушы қауіпсіздікті зерттеушілердің назарын өзіне 2017 жылғы шілдеде аударған болатын. Зиянды бағдарлама ірі компаниялар мен қаржы ұйымдарына жасалатын шабуылдарда пайдаланылады және RDP-брутфорс жолымен жеткізіледі. FriedEx әрбір файлды кездейсоқ өндірілген RC4 кілтінің көмегімен шифрлайды.

ESET сарапшылары 2017 жылғы желтоқсанда FriedEx үлгілерінің бірін зерделеп, кодтың Dridex-ға ұқсастығын айқындады. Егжей-тегжейлі зерттеу FriedEx әрекеті туралы ақпаратты жасырудың бірдей әдістерін қолданатынын айқындап, зиянды бағдарламалардың екі тобын бір автор шығарғаны жайлы болжамды растады.

Осылай, Dridex және FriedEx барлық бинарлы файлдарында UserID өндіру үшін пайдаланылатын функция сәйкес келеді – зақымдалған машинаның бірнеше ерекше белгілерінің жолдары. UserID одан әрі Dridex ботнеті құрамында немесе FriedEx шифрлаушыға құрбан компьютерінің сәйкестендіргіші ретінде болады.

Тағы бір ортақ белгі - Dridex және FriedEx бинарлы файлдарындағы функциялардың бірдей реттілігі. Бұл екі жобада бір кодтар базасын немесе статистикалық кітапхананы пайдаланудың нәтижесі болуы мүмкін.

Dridex және FriedEx зерттелген кейбір үлгілері PDB жолын қамтиды. Оның негізіндеDridex және FriedEx бинарлы файлдарының бір каталогта жинақталғанын көруге болады.

Dridex және FriedEx бір зиянды қаптаушыны пайдаланады. Алайда, өз бетінше бұл факті оның дәлелі бола алмайды, себебі аталған қаптаушы зиянды бағдарламалардың басқа да топтарында байқалды, соның ішіндеQBot, Emotet және Ursnif.

ESET мамандарының пікірі бойынша, Dridex авторлары банктік троянды жаңартып, жоғары белсенділікті сақтап отыр, сондай-ақ «портфолионы» шифрлаушымен толықтырды. Кибертоп жаңа трендтерге оңай бейімделіп, өз санатындағы ең ілгерілерімен бәсекеге қабілетті жаңа аспаптар әзірлейді.

Ақпарат көзі: ESET