ESET: авторы банковского трояна Dridex осваивают новые рынки

06.02.2018

ESET представила исследование шифратора FriedEx (BitPaymer), атаковавшего больницы Национальной службы здравоохранения Шотландии и другие организации. Анализ доказывает, что за созданием шифратора стоит кибергруппа, разработавшая банковский троян Dridex.

Dridex известен с 2014 года и является одной из наиболее сложных вредоносных программ в своей категории. Разработка трояна  продолжается — еженедельно выходят новые версии бота, периодически появляются крупные обновления. Так, в начале 2017 года вышла версия с поддержкой техники инжекта Atom Bombing, позднее — с использованием уязвимости нулевого дня в Microsoft Word. Последняя версия программы 4.80 датирована 14 декабря 2017 года.

Шифратор FriedEx привлек внимание исследователей безопасности в июле 2017 года. Вредоносная программа используется в атаках на крупные компании и финансовые организации и доставляется путем RDP-брутфорса. FriedEx шифрует каждый файл с помощью случайно сгенерированного ключа RC4.

В декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство кода с Dridex. Детальное исследование выявило, что FriedEx использует те же методы сокрытия информации о поведении, что подтвердило гипотезу — два семейства вредоносных программ созданы одними и теми же авторами.

Кроме того, специалисты ESET обнаружили несколько образцов вредоносных программ с одной и той же датой компиляции. Различие во временных метках — всего несколько минут, это позволяет предположить, что авторы одновременно компилировали оба проекта.

Наконец, Dridex и FriedEx используют один и тот же упаковщик. Однако сам по себе этот факт не может служить доказательством, поскольку этот упаковщик замечен и в других семействах вирусных программ, включая QBot, Emotet и Ursnif.

Помимо очевидного сходства с Dridex, специалисты обнаружили новую, ранее не задокументированную 64-битную версию шифратора FriedEx.

По мнению специалистов антивирусной компании, авторы Dridex сохраняют высокую активность, обновляя банковский троян, а также пополнили «портфолио» шифратором. Кибергруппа легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории.

Антивирусные продукты ESET детектируют FriedEx (BitPaymer) как Win32/Filecoder. FriedEx и Win64/ Filecoder. FriedEx. Информация о новейших угрозах и целевых атаках доступна пользователям телеметрического сервиса ESET Threat Intelligence.