Исследователи компании Forcepoint изучили новейшие образцы банковского трояна Dridex, также известного под именами Bugat и Cridex. За последние месяцы в коде трояна появился ряд изменений, в частности, эксперты полагают, что в скором будущем троян начнет похищать данные криптовалютных кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и так далее.

Эксперты Forcepoint пишут, что наиболее значительные изменения связаны с конфигурационным файлом Dridex, который теперь передается с управляющего сервера на компьютер жертвы в зашифрованном виде, а не в формате открытого XML-файла, как это было раньше. Это должно затруднить реверс кода малвари, а также ее обнаружение. Кроме того, Dridex «научился» добавлять в черный список любые подозрительные хосты.

Dridex стал весьма осторожен, так как загрузчик трояна вначале собирает все данные о каждом хосте и передает их на управляющий сервер. Среди этих данных имя компьютера, тип ОС, версия ОС, дата установки ОС и другая системная информация, например, список установленного ПО.

dridex1
Какие данные передаются на управляющий сервер

Опираясь на эту информацию, авторы Dridex сумели не только создать базу пользователей, но также догадались использовать ее для обнаружения пользователей, в системах которых установлены инструменты для реверс-инжиниринга и другой подобный софт. В результате наиболее свежие образцы Dridex сверяются с такими черными списками, и если компьютер уже фигурирует в базе злоумышленников как опасный, малварь не станет загружать остальные модули и продолжать работу. Исследователи Forcepoint пишут, что это уникальная для банковского трояна функциональность.

Однако изощренные попытки укрыться от глаз ИБ-экспертов, не являются единственной уникальной особенностью вредоноса. По данным исследователей, свежие версии Dridex сканируют зараженные компьютеры и ищут имена популярных приложений криптовалютных кошельков. Троян и ранее умел похищать учетные данные от банковских порталов, PoS-программ и профессионального банковского ПО, установленного на бэкэндах финансовых организаций. Теперь же операторы Dridex, судя по всему, формируют базу из наиболее популярных приложений для работы с криптовалютой. Эксперты Forcepoint не сомневаются, что эта информация в будущем будет использована злоумышленникам для кражи биткоинов и не только.

capture

Оставить мнение