Розробники банківського трояна Dridex створили нову шкідливу програму

Компанія ESET — лідер у галузі інформаційної безпеки — попереджає про поширення складної програми-вимагача FriedEx (також відома як BitPaymer). Її жертвами найчастіше стають не звичайні користувачі, а компанії та цілі особливої важливості.

Вперше шкідливу програму FriedEx було зафіксовано на початку липня 2017 року, а вже у серпні загроза атакувала лікарні у Шотландії. Програма-вимагач шифрує кожен файл випадково згенерованим ключем RC4, який потім шифрується за допомогою закодованого 1024-бітного відкритого ключа RSA і зберігається у відповідному файлі з розширенням .readme_txt.

За результатами детального аналізу загрози спеціалісти ESET з’ясували, що до створення нещодавно зафіксованої загрози причетні автори відомого банківського трояна Dridex. Варто зазначити, що шкідлива програма Dridex вперше була виявлена у 2014 році. Через деякий час завдяки численним удосконаленням загроза Dridex перетворилася на один з найскладніших банківських троянів. Зокрема четверта версія шкідливої програми була доповнена технологією «Atom Bombing», а пізніше ще й експлойтом, який використовував 0-денну уразливість у Microsoft Office.

Провівши детальний аналіз загроз Dridex та FriedEx у кінці 2017 року, спеціалісти ESET знайшли подібність у кодах цих двох шкідливих програм. Зокрема обидві шкідливі програми застосовують однакові техніки для приховування інформації про свою активність в системі. Крім цього, FriedEx та Dridex використовують специфічну функцію для генерації унікального ідентифікатора жертви.

Також у шкідливих програмах FriedEx та Dridex наявні унікальні шляхи PDB (база даних програми). Зокрема файли містять символи, які допомагають розробникам усувати помилки та виявляти збої. Зазвичай, шляхи PDB рідко наявні у бінарних файлах шкідливого програмного забезпечення, оскільки зловмисники намагаються не залишати ніякої інформації про власну діяльність.

У свою чергу, однакова дата компіляції у деяких зразках Dridex і FriedEx також підтверджує те, що обидві програми були розроблені одночасно.

Враховуючи всі подібності у кодах, спеціалісти ESET вважають, що ці два сімейства шкідливих програм було створено однією групою розробників. Як бачимо, сьогодні автори Dridex не лише послідовно удосконалюють банківський троян, але й адаптуються до останніх тенденцій у світі кіберзагроз, створюючи власні програми-вимагачі. Ймовірно, група кіберзлочинців не збирається зупинятися на досягнутому, а й надалі покращуватиме наявні шкідливі програми або ж навіть створюватиме нові небезпечні загрози високого рівня складності.