В скором времени новая версия опасного банковского трояна Dridex (Bugat и Cridex), сможет похищать кошельки для криптовалют. К такому выводу пришли эксперты компании Forcepoint после анализа кода вредоноса. Были обнаружены незначительные изменения, позволяющие трояну обходить решения безопасности, а также некоторые элементы, проливающие свет на его будущие возможности.
Наибольшие изменения коснулись конфигурационного файла, который теперь передается с C&C-сервера на компьютеры жертв в виде зашифрованного двоичного кода, а не открытого текста в XML-файле, что существенно затрудняет реверс-инжиниринг. Кроме того, теперь троян способен составлять черные списки «подозрительных» хостов.
Dridex не сразу инфицирует систему жертвы. Сначала на компьютер попадает загрузчик, собирающий информацию о хосте и отправляющий ее на C&C-сервер. Загрузчик собирает такие данные, как имя компьютера, тип операционной системы, ее версия и дата установки, а также системную информацию, в том числе списки установленного ПО.
Авторы трояна в последних его версиях внесли некоторые хосты в черный список. Если загрузчик Dridex попадает на систему из черного списка, то основной модуль вредоноса загружаться не будет. По словам исследователей, данная функция является уникальной и нехарактерна для банковских троянов.
Вскоре Dridex получит еще одну уникальную функцию: троян может сканировать инфицированную систему на предмет наличия популярных кошельков для криптовалют. То есть, операторы вредоносного ПО, обладающего способностью похищать учетные данные для авторизации на банковских порталах, в PoS-терминалах и профессиональных банковских программах, сейчас работают на созданием базы популярного ПО для работы с криптовалютами. В настоящее время троян сканирует инфицированную систему в поисках биткойн-кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и др. Появление в следующих версиях Dridex функции похищения биткойнов и других цифровых валют – только вопрос времени.
Наибольшие изменения коснулись конфигурационного файла, который теперь передается с C&C-сервера на компьютеры жертв в виде зашифрованного двоичного кода, а не открытого текста в XML-файле, что существенно затрудняет реверс-инжиниринг. Кроме того, теперь троян способен составлять черные списки «подозрительных» хостов.
Dridex не сразу инфицирует систему жертвы. Сначала на компьютер попадает загрузчик, собирающий информацию о хосте и отправляющий ее на C&C-сервер. Загрузчик собирает такие данные, как имя компьютера, тип операционной системы, ее версия и дата установки, а также системную информацию, в том числе списки установленного ПО.
Авторы трояна в последних его версиях внесли некоторые хосты в черный список. Если загрузчик Dridex попадает на систему из черного списка, то основной модуль вредоноса загружаться не будет. По словам исследователей, данная функция является уникальной и нехарактерна для банковских троянов.
Вскоре Dridex получит еще одну уникальную функцию: троян может сканировать инфицированную систему на предмет наличия популярных кошельков для криптовалют. То есть, операторы вредоносного ПО, обладающего способностью похищать учетные данные для авторизации на банковских порталах, в PoS-терминалах и профессиональных банковских программах, сейчас работают на созданием базы популярного ПО для работы с криптовалютами. В настоящее время троян сканирует инфицированную систему в поисках биткойн-кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и др. Появление в следующих версиях Dridex функции похищения биткойнов и других цифровых валют – только вопрос времени.
