Аналитики компании ESET обнаружили связь между известным банковским трояном Dridex (который давно распространяет ботнет Necurs) и вымогателем FriedEx, также известным как BitPaymer.
Исследователи рассказывают, что банкер Dridex известен ИБ-специалистам с 2014 года, и он до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка трояна продолжается по сей день: регулярно появляются новые версии бота, а периодически выходят и крупные обновления. Например, в начале 2017 года вышла обновленная версия Dridex с поддержкой техники «атомной бомбардировки» (AtomBombing), а весной 2017 года банкер стал эксплуатировать уязвимости нулевого дня в Microsoft Word. По данным ESET, последняя версия Dridex (4.80) датирована 14 декабря 2017 года.
Шифровальщик FriedEx, в свою очередь, привлек внимание исследователей в июле 2017 года. В конце прошлого лета именно этот вымогатель атаковал сразу несколько медицинских учреждений в Шотландии. Также малварь использовалась в ходе атак на крупные компании и финансовые организации. FriedEx доставляется на конечные машины путем RDP-брутфорса и шифрует каждый файл с помощью случайно сгенерированного ключа RC4.
Еще в декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство исходного кода шифровальщика с Dridex. Более детальное исследование показало, что FriedEx использует те же методы сокрытия информации, что подтвердило гипотезу специалистов: два семейства вредоносных программ созданы одними и теми же авторами.
Исследователи ESET объясняют, что во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx.
Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах единой кодовой базы или статической библиотеки.
Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге.
Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках составляет всего несколько минут, что позволяет предположить, что авторы одновременно компилировали оба проекта.
Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Но сам по себе этот факт не может служить «уликой», поскольку данный упаковщик замечен и в других семействах малвари, включая QBot, Emotet и Ursnif.
Помимо очевидного сходства с Dridex, исследователи выявили новую, ранее не задокументированную 64-битную версию FriedEx.
По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя свой банковский троян, но теперь пополнили «портфолио» шифровальщиком. Группировка легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории.