Следующая новость
Предыдущая новость

Новая версия банкера Dridex избегает внимания антивирусов

02.07.2019 11:42
Новая версия банкера Dridex избегает внимания антивирусов

Рекомендуем почитать:

Xakep #243. Лови сигнал

  • Содержание выпуска
  • Подписка на «Хакер»

Банковский троян Dridex известен ИБ-специалистам с 2014 года и до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка малвари продолжается по сей день: регулярно появляются новые версии трояна, а периодически выходят и крупные обновления.

В начале июня 2019 года независимый ИБ-эксперт Брэд Дункан обнаружил новую разновидность Dridex, которая использовала Application Whitelisting, чтобы блокировать или отключать элементы Windows Script Host. Фактически это означает, что злоупотребление WMI (WMIC) позволяет малвари применять скрипты XLS и обходить защитные механизмы.

Теперь более детальный отчет о новой версии трояна обнародовали эксперты компании eSentire. Исследователи пишут, что изначально при загрузке образца на VirusTotal лишь 6 из 60 защитных решений «опознавали» в Dridex вредоносное ПО. По состоянию на 02 июля 2019 года число обнаружений увеличилось до 46 из 60.

Также сообщается, что изменилась инфраструктура библиотек Dridex. DLL-файлы трояна представляют собой 64-разрядные библиотеки DLL с именами файлов, которые загружаются легитимными системными EXE-файлами Microsoft Windows. Пути этих файлов, их имена и хеши SHA256 меняются каждый раз, когда жертва входит в систему на зараженном Windows-хосте.

Новая версия банкера Dridex избегает внимания антивирусов

Аналитики eSentire пишут, что новая вариация Dridex распространяется посредством спамерских писем с вредоносными документами-вложениями. В эти документы встроены вредоносные макросы, срабатывание которых может быть спровоцировано различным взаимодействием с жертвой (все зависит от конкретной системной среды).

Эксперты предупреждают, что многие антивирусные решения могут обнаруживать подозрительное поведение Dridex, но затруднятся с точным определением проблемы. Учитывая постоянные изменения, которые происходя в инфраструктуре трояна, signature-based антивирусы могут оказаться бесполезными против Dridex.

Источник

Последние новости