Банковский троян Dridex готовится атаковать криптовалютные кошельки

Исследователи компании Forcepoint изучили новейшие образцы банковского трояна Dridex, также известного под именами Bugat и Cridex. За последние месяцы в коде трояна появился ряд изменений, в частности, эксперты полагают, что в скором будущем троян начнет похищать данные криптовалютных кошельков Coinbase, Bitcore, CoinsBank, BreadWallet и так далее.

Эксперты Forcepoint пишут, что наиболее значительные изменения связаны с конфигурационным файлом Dridex, который теперь передается с управляющего сервера на компьютер жертвы в зашифрованном виде, а не в формате открытого XML-файла, как это было раньше. Это должно затруднить реверс кода малвари, а также ее обнаружение. Кроме того, Dridex «научился» добавлять в черный список любые подозрительные хосты.

Dridex стал весьма осторожен, так как загрузчик трояна вначале собирает все данные о каждом хосте и передает их на управляющий сервер. Среди этих данных имя компьютера, тип ОС, версия ОС, дата установки ОС и другая системная информация, например, список установленного ПО.

Опираясь на эту информацию, авторы Dridex сумели не только создать базу пользователей, но также догадались использовать ее для обнаружения пользователей, в системах которых установлены инструменты для реверс-инжиниринга и другой подобный софт. В результате наиболее свежие образцы Dridex сверяются с такими черными списками, и если компьютер уже фигурирует в базе злоумышленников как опасный, малварь не станет загружать остальные модули и продолжать работу. Исследователи Forcepoint пишут, что это уникальная для банковского трояна функциональность.

Однако изощренные попытки укрыться от глаз ИБ-экспертов, не являются единственной уникальной особенностью вредоноса. По данным исследователей, свежие версии Dridex сканируют зараженные компьютеры и ищут имена популярных приложений криптовалютных кошельков. Троян и ранее умел похищать учетные данные от банковских порталов, PoS-программ и профессионального банковского ПО, установленного на бэкэндах финансовых организаций. Теперь же операторы Dridex, судя по всему, формируют базу из наиболее популярных приложений для работы с криптовалютой. Эксперты Forcepoint не сомневаются, что эта информация в будущем будет использована злоумышленникам для кражи биткоинов и не только.

Источник: xakep.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s