Специалисты IBM X-Force обнаружили новую, четвертую версию известного банковского трояна Dridex. Как оказалось, Dridex v4 — это первая малварь, взявшая на вооружение технику AtomBombing, которую в конце 2016 года представили специалисты компании enSilo.
Методика enSilo получила название «атомная бомбардировка» (AtomBombing), так как атака концентрируется вокруг использования таблиц атомов (atom table). По сути, атака не эксплуатирует никаких багов, но полагается на слабые стороны Windows. AtomBombing эксплуатирует особенности самой ОС, так как Windows позволяет модифицировать таблицы атомов и внедрять в них какой-либо код (в том числе вредоносный), который в итоге будет выполнен легитимным приложением. А внедрившись в легитимный процесс, малварь может легко остаться незамеченной для защитных механизмов.
Исследователи IBM X-Force пишут, что изучение новой версии трояна позволило им лучше понять основные этапы развития Dridex и установить время выхода разных версий. Так, Dridex v1 был запущен в конце 2014 года и просуществовал лишь до начала 2015 года. Затем ему на смену пришел Dridex v2, который тоже «прожил» недолго – до апреля 2015 года. Наиболее стабильной версией трояна стала Dridex v3, которая работала и понемногу обновлялась на протяжении двух последующих лет. По словам экспертов, за это время троян прошел огромный путь, если сравнивать начальные версии Dridex с наиболее свежими на данный момент, это практически два разных решения.
В целом Dridex v4 мало отличается от третьей версии. Малварь по-прежнему полагается на redirection-атаки, чтобы перехватить трафик пользователя, и с помощью локального прокси-сервера перенаправляет своих жертв на поддельные сайты, имитирующие настоящие банковские порталы. Кроме того, троян все еще использует hVNC (Hidden VNC – Virtual Network Computing) для установки скрытого соединения с нужными хостами, которые контролируют зараженные устройства.
По словам экспертов, одним из наиболее заметных изменений в коде Dridex v4 стало то, как банкер загружает вредоносный код в память устройства. Раньше операторы малвари полагались на вызовы различных функций Windows API, загружали фрагменты своего кода в память, а затем внедрялись в процессы браузера. Защитные решения давно научились следить за вызовами Windows API и замечать вредоносную активность Dridex и других семейств малвари, работающих по схожему принципу. Однако Dridex v4 теперь использует другую методику: «атомную бомбардировку», описанную специалистами enSilo.
В прошлом году исследователи enSilo предупреждали, что с патчем для AtomBombing могут возникнуть серьезные проблемы. Так как никакой фактической уязвимости здесь нет, исправлять нечего, и для устранения бреши разработчикам Microsoft придется пересматривать базовые механизмы работы самой ОС, что практически нереализуемо. Тогда специалисты enSilo призывали разработчиков антивирусных продуктов разобраться в том, как работает «атомная бомбардировка», и добавить в свои решения инструменты для обнаружения подобных атак.
Теперь авторы Dridex действительно взяли «атомную бомбардировку» на вооружение. Причем хакеры воспользовались proof-of-concept эксплоитом enSilo, но использовали лишь первую его часть. Вторую часть злоумышленники написали сами. В итоге атака по-прежнему эксплуатирует атомные таблицы для загрузки вредоносного кода в RWX, но использует другие вызовы API и функций, так что методы обнаружения таких атак, созданные на базе исследования enSilo, здесь бесполезны.
Эксперты IBM X-Force сообщают, что пока Dridex v4 атакует только пользователей некоторых британских банков, однако такая ситуация вряд ли сохранится долго. Ожидается, что вскоре троян, как обычно, распространит свои атаки, и вредоносная кампания охватит другие страны и другие финансовые учреждения.
Подробный анализ Dridex v4 доступен в блоге IBM X-Force. Подробнее о методике AtomBombing, в свою очередь, можно почитать в докладе специалистов enSilo.
Фото: Depositphotos