Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer) - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer) - «Новости»

Аналитики компании ESET обнаружили связь между известным банковским трояном Dridex (который давно распространяет ботнет Necurs) и вымогателем FriedEx, также известным как BitPaymer.


Исследователи рассказывают, что банкер Dridex известен ИБ-специалистам с 2014 года, и он до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка трояна продолжается по сей день: регулярно появляются новые версии бота, а периодически выходят и крупные обновления. Например, в начале 2017 года вышла обновленная версия Dridex с поддержкой техники «атомной бомбардировки» (AtomBombing), а весной 2017 года банкер стал эксплуатировать уязвимости нулевого дня в Microsoft Word. По данным ESET, последняя версия Dridex (4.80) датирована 14 декабря 2017 года.


Шифровальщик FriedEx, в свою очередь, привлек внимание исследователей в июле 2017 года. В конце прошлого лета именно этот вымогатель атаковал сразу несколько медицинских учреждений в Шотландии. Также малварь использовалась в ходе атак на крупные компании и финансовые организации. FriedEx доставляется на конечные машины путем RDP-брутфорса и шифрует каждый файл с помощью случайно сгенерированного ключа RC4.


Еще в декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство исходного кода шифровальщика с Dridex. Более детальное исследование показало, что FriedEx использует те же методы сокрытия информации, что подтвердило гипотезу специалистов: два семейства вредоносных программ созданы одними и теми же авторами.


Исследователи ESET объясняют, что во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx.





Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах единой кодовой базы или статической библиотеки.





Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге.



Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer) - «Новости»


Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках составляет всего несколько минут, что позволяет предположить, что авторы одновременно компилировали оба проекта.





Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Но сам по себе этот факт не может служить «уликой», поскольку данный упаковщик замечен и в других семействах малвари, включая QBot, Emotet и Ursnif.


Помимо очевидного сходства с Dridex, исследователи выявили новую, ранее не задокументированную 64-битную версию FriedEx.


По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя свой банковский троян, но теперь пополнили «портфолио» шифровальщиком. Группировка легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории.


Источник новостиgoogle.com

Аналитики компании ESET обнаружили связь между известным банковским трояном Dridex (который давно распространяет ботнет Necurs) и вымогателем FriedEx, также известным как BitPaymer. Исследователи рассказывают, что банкер Dridex известен ИБ-специалистам с 2014 года, и он до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка трояна продолжается по сей день: регулярно появляются новые версии бота, а периодически выходят и крупные обновления. Например, в начале 2017 года вышла обновленная версия Dridex с поддержкой техники «атомной бомбардировки» (AtomBombing), а весной 2017 года банкер стал эксплуатировать уязвимости нулевого дня в Microsoft Word. По данным ESET, последняя версия Dridex (4.80) датирована 14 декабря 2017 года. Шифровальщик FriedEx, в свою очередь, привлек внимание исследователей в июле 2017 года. В конце прошлого лета именно этот вымогатель атаковал сразу несколько медицинских учреждений в Шотландии. Также малварь использовалась в ходе атак на крупные компании и финансовые организации. FriedEx доставляется на конечные машины путем RDP-брутфорса и шифрует каждый файл с помощью случайно сгенерированного ключа RC4. Еще в декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство исходного кода шифровальщика с Dridex. Более детальное исследование показало, что FriedEx использует те же методы сокрытия информации, что подтвердило гипотезу специалистов: два семейства вредоносных программ созданы одними и теми же авторами. Исследователи ESET объясняют, что во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx. Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах единой кодовой базы или статической библиотеки. Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге. Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках составляет всего несколько минут, что позволяет предположить, что авторы одновременно компилировали оба проекта. Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Но сам по себе этот факт не может служить «уликой», поскольку данный упаковщик замечен и в других семействах малвари, включая QBot, Emotet и Ursnif. Помимо очевидного сходства с Dridex, исследователи выявили новую, ранее не задокументированную 64-битную версию FriedEx. По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя свой банковский троян, но теперь пополнили «портфолио» шифровальщиком. Группировка легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))