ESET: авторы банковского трояна Dridex осваивают новые рынки

ESET: авторы банковского трояна Dridex осваивают новые рынки

ESET представила исследование шифратора FriedEx (BitPaymer), атаковавшего больницы Национальной службы здравоохранения Шотландии и другие организации. Анализ доказывает, что за созданием шифратора стоит кибергруппа, разработавшая банковский троян Dridex.

Dridex известен с 2014 года и является одной из наиболее сложных вредоносных программ в своей категории. Разработка Dridex продолжается – еженедельно выходят новые версии бота, периодически появляются крупные обновления. Так, в начале 2017 года вышла версия Dridex с поддержкой техники инжекта Atom Bombing, позднее – с использованием уязвимости нулевого дня в Microsoft Word. Последняя версия Dridex 4.80 датирована 14 декабря 2017 года.

Шифратор FriedEx привлек внимание исследователей безопасности в июле 2017 года. Вредоносная программа используется в атаках на крупные компании и финансовые организации и доставляется путем RDP-брутфорса. FriedEx шифрует каждый файл с помощью случайно сгенерированного ключа RC4.

В декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство кода с Dridex. Детальное исследование выявило, что FriedEx использует те же методы сокрытия информации о поведении, что подтвердило гипотезу – два семейства вредоносных программ созданы одними и теми же авторами.

Так, во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx.

Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах одной кодовой базы или статической библиотеки.

Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге.

Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках – всего несколько минут, это позволяет предположить, что авторы одновременно компилировали оба проекта.

Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Однако сам по себе этот факт не может служить доказательством, поскольку этот упаковщик замечен и в других семействах вредоносных программ, включая QBot, Emotet и Ursnif.

Помимо очевидного сходства с Dridex, специалисты ESET обнаружили новую, ранее не задокументированную 64-битную версию шифратора FriedEx.

По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя банковский троян, а также пополнили «портфолио» шифратором. Кибергруппа легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Нейробраузер Яндекса ежедневно пресекает 1,5 млн визитов к фишерам

С начала тестирования обновленный Яндекс Браузер выявил более 400 тыс. мошеннических сайтов. Встроенная нейросеть позволяет ежедневно фиксировать 1,5 млн попыток перехода на фишинговые ресурсы, в 90% случаев юзер при этом использует телефон.

Проверка сайтов теперь осуществляется в реальном времени. При подозрении на фишинг Браузер запускает глубокий анализ с привлечением серверов «Яндекса». Ресурс проверяется по сотням параметров: когда создан, на кого зарегистрирован, как часто посещается и каким способом (по ссылкам или напрямую), появляется ли в поисковой выдаче и т. п.

Данные пользователей и текстовое содержимое страниц при этом на серверы не передаются. Комплексная проверка длится менее 0,01 секунды; если сайт опасен, пользователю выводится предупреждение.

Ранее такая защита работала иначе. Фишинговые сайты отыскивал в Сети поисковый робот «Яндекса», заходя на сомнительные страницы по несколько раз в сутки. Оценка производилась с помощью ML-моделей на сервере; опасные ресурсы заносились в базу, и Браузер с ней сверялся каждый раз, когда пользователь заходил на новый ресурс.

Весь процесс занимал много времени, от нескольких часов до суток. Столько в среднем и живут фишинговые сайты, и солидное количество по этой причине не попадало в базу «Яндекса».

Теперь клиентская нейросеть помогает выявлять не только ловушки-однодневки, но также новые приманки фишеров — такие как фейки приложений подсанкционных банков и платформ для работы с криптобиржами.

Каждый месяц через Яндекс Браузер в Сеть выходят свыше 85 млн человек. Запуск версии со встроенными нейросетями состоялся в прошлом месяце. Новые функции доступны на десктопах Windows, macOS, Linux, а также на мобильных устройствах.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru