Twórcy trojana bankowego Dridex powracają z nowym wirusem
Zagrożenie o nazwie Dridex swego czasu było koszmarem dla użytkowników komputerów, potrafiło bowiem skutecznie wyprowadzać pieniądze z rachunków bankowych swoich ofiar. Szacuje się, że Dridex spowodował straty liczone w milionach dolarów. Wszystko wskazywało na to, że zagrożenie przestało być aktywnie wykorzystywane przez cyberprzestępców. Do czasu.
Trojan bankowy Dridex pojawił się po raz pierwszy w 2014 roku i wówczas został uznany za jeden z najbardziej wyrafinowanych trojanów bankowych atakujących użytkowników komputerów. Cyberprzestępcy stworzyli wiele odmian tego zagrożenia. Ostatnio na temat zagrożenia było głośno w połowie 2017 roku, kiedy to szkodliwy kod rozsyłany za pomocą wiadomości e-mail, wykorzystywał lukę w Wordzie. Z pomocą tego zagrożenia cyberprzestępcy ukradli wtedy miliony dolarów z kont bankowych nieświadomych niczego użytkowników. Jak wskazują eksperci z ESET, twórcy Dridexa stworzyli nowe zagrożenie - ransomware FriedEx/BitPaymer.
Co ma wspólnego FriedEx/BitPaymer z Dridexem?
Zagrożenie, początkowo nazywane BitPaymer, zostało odkryte w lipcu zeszłego roku przez Michaela Gillespiego - amerykańskiego badacza specjalizującego się w analizie zagrożeń ransomware. Niespełna miesiąc po jego odkryciu wirus trafił na nagłówki największych gazet, bowiem zainfekował szkockie szpitale. Od tego czasu zdążył ewoluować.
- Zagrożenie znane jako FriedEx/BitPaymer jest wymierzone w firmy i przeprowadzane za pomocą tzw. ataków siłowych (brute force) na komputery z włączoną usługą zdalnego pulpitu. Złośliwe oprogramowanie szyfruje każdy plik znajdujący się w systemie, uniemożliwiając do niego dostęp i żądając okupu za odszyfrowanie - tłumaczy Kamil Sadkowski, analityk zagrożeń z ESET.
Eksperci z ESET pod koniec zeszłego roku dokonali interesującego odkrycia. Okazało się, że fragmenty kodów FriedEx’a są niemal identyczne ze strukturą szkodliwego Dridexa.
- FriedEx używa tych samych metod ukrywania swojego działania, co Dridex. W obu szkodliwych programach cyberprzestępcy pozostawili informacje na temat źródłowej lokalizacji na dysku, w której stworzono programy. Ścieżka wygląda na unikalną (S:\Work\_bin\Release-*) i nie występuje w żadnych innych szkodliwych programach, które analizowaliśmy. Także daty kompilacji zaszyte w obu programach charakteryzują się mocną zbieżnością czasową (różnią się ledwie o kilka minut). Nie wykluczamy w przyszłości nowych odmian zagrożeń stworzonych przez twórców Dridex’a - wyjaśnia Kamil Sadkowski.