Хакер #305. Многошаговые SQL-инъекции
Исследователи компании Forcepoint изучили новейшие образцы банковского трояна Dridex, также известного под именами Bugat и Cridex. За последние месяцы в коде трояна появился ряд изменений, в частности, эксперты полагают, что в скором будущем троян начнет похищать данные криптовалютных кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и так далее.
Эксперты Forcepoint пишут, что наиболее значительные изменения связаны с конфигурационным файлом Dridex, который теперь передается с управляющего сервера на компьютер жертвы в зашифрованном виде, а не в формате открытого XML-файла, как это было раньше. Это должно затруднить реверс кода малвари, а также ее обнаружение. Кроме того, Dridex «научился» добавлять в черный список любые подозрительные хосты.
Dridex стал весьма осторожен, так как загрузчик трояна вначале собирает все данные о каждом хосте и передает их на управляющий сервер. Среди этих данных имя компьютера, тип ОС, версия ОС, дата установки ОС и другая системная информация, например, список установленного ПО.
Опираясь на эту информацию, авторы Dridex сумели не только создать базу пользователей, но также догадались использовать ее для обнаружения пользователей, в системах которых установлены инструменты для реверс-инжиниринга и другой подобный софт. В результате наиболее свежие образцы Dridex сверяются с такими черными списками, и если компьютер уже фигурирует в базе злоумышленников как опасный, малварь не станет загружать остальные модули и продолжать работу. Исследователи Forcepoint пишут, что это уникальная для банковского трояна функциональность.
Однако изощренные попытки укрыться от глаз ИБ-экспертов, не являются единственной уникальной особенностью вредоноса. По данным исследователей, свежие версии Dridex сканируют зараженные компьютеры и ищут имена популярных приложений криптовалютных кошельков. Троян и ранее умел похищать учетные данные от банковских порталов, PoS-программ и профессионального банковского ПО, установленного на бэкэндах финансовых организаций. Теперь же операторы Dridex, судя по всему, формируют базу из наиболее популярных приложений для работы с криптовалютой. Эксперты Forcepoint не сомневаются, что эта информация в будущем будет использована злоумышленникам для кражи биткоинов и не только.