Операторы трояна сейчас работают на созданием базы популярного ПО для работы с криптовалютами.
Будущие версии опасного банковского трояна Dridex, также известного как Bugat и Cridex, вскоре смогут похищать кошельки для криптовалют. К такому выводу пришли эксперты компании Forcepoint, проанализировав код вредоноса. Исследователи обнаружили в нем незначительные изменения, позволяющие трояну обходить решения безопасности, а также некоторые элементы, проливающие свет на его будущие возможности.
Наибольшие изменения коснулись конфигурационного файла, который теперь передается с C&C-сервера на компьютеры жертв в виде зашифрованного двоичного кода, а не открытого текста в XML-файле, что существенно затрудняет реверс-инжиниринг. Кроме того, теперь троян способен составлять черные списки «подозрительных» хостов.
Как пояснили эксперты, Dridex не сразу инфицирует систему жертвы. Сначала на компьютер попадает загрузчик, собирающий информацию о хосте и отправляющий ее на C&C-сервер. Загрузчик собирает такие данные, как имя компьютера, тип операционной системы, ее версия и дата установки, а также системную информацию, в том числе списки установленного ПО.
Благодаря этому с течением времени операторы Dridex и одноименного ботнета создали базу данных пользователей. Им пришло в голову, что ее можно использовать для определения компьютеров с программным обеспечением, имеющим отношение к информационной безопасности и реверс-инжинирингу. Авторы трояна в последних его версиях внесли некоторые хосты в черный список. Если загрузчик Dridex попадает на систему из черного списка, то основной модуль вредоноса загружаться не будет. По словам исследователей, данная функция является уникальной и нехарактерна для банковских троянов.
Вскоре Dridex получит еще одну уникальную функцию, уверены исследователи. Теперь троян может сканировать инфицированную систему на предмет наличия популярных кошельков для криптовалют. То есть, операторы вредоносного ПО, обладающего способностью похищать учетные данные для авторизации на банковских порталах, в PoS-терминалах и профессиональных банковских программах, сейчас работают на созданием базы популярного ПО для работы с криптовалютами. В настоящее время троян сканирует инфицированную систему в поисках биткойн-кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и др. Появление в следующих версиях Dridex функции похищения биткойнов и других цифровых валют – только вопрос времени.
Источник
Будущие версии опасного банковского трояна Dridex, также известного как Bugat и Cridex, вскоре смогут похищать кошельки для криптовалют. К такому выводу пришли эксперты компании Forcepoint, проанализировав код вредоноса. Исследователи обнаружили в нем незначительные изменения, позволяющие трояну обходить решения безопасности, а также некоторые элементы, проливающие свет на его будущие возможности.
Наибольшие изменения коснулись конфигурационного файла, который теперь передается с C&C-сервера на компьютеры жертв в виде зашифрованного двоичного кода, а не открытого текста в XML-файле, что существенно затрудняет реверс-инжиниринг. Кроме того, теперь троян способен составлять черные списки «подозрительных» хостов.
Как пояснили эксперты, Dridex не сразу инфицирует систему жертвы. Сначала на компьютер попадает загрузчик, собирающий информацию о хосте и отправляющий ее на C&C-сервер. Загрузчик собирает такие данные, как имя компьютера, тип операционной системы, ее версия и дата установки, а также системную информацию, в том числе списки установленного ПО.
Благодаря этому с течением времени операторы Dridex и одноименного ботнета создали базу данных пользователей. Им пришло в голову, что ее можно использовать для определения компьютеров с программным обеспечением, имеющим отношение к информационной безопасности и реверс-инжинирингу. Авторы трояна в последних его версиях внесли некоторые хосты в черный список. Если загрузчик Dridex попадает на систему из черного списка, то основной модуль вредоноса загружаться не будет. По словам исследователей, данная функция является уникальной и нехарактерна для банковских троянов.
Вскоре Dridex получит еще одну уникальную функцию, уверены исследователи. Теперь троян может сканировать инфицированную систему на предмет наличия популярных кошельков для криптовалют. То есть, операторы вредоносного ПО, обладающего способностью похищать учетные данные для авторизации на банковских порталах, в PoS-терминалах и профессиональных банковских программах, сейчас работают на созданием базы популярного ПО для работы с криптовалютами. В настоящее время троян сканирует инфицированную систему в поисках биткойн-кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и др. Появление в следующих версиях Dridex функции похищения биткойнов и других цифровых валют – только вопрос времени.
Источник
