Информационная безопасностьНовости

Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer)

Аналитики компании ESET обнаружили связь между известным банковским трояном Dridex (который давно распространяет ботнет Necurs) и вымогателем FriedEx, также известным как BitPaymer.

Исследователи рассказывают, что банкер Dridex известен ИБ-специалистам с 2014 года, и он до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка трояна продолжается по сей день: регулярно появляются новые версии бота, а периодически выходят и крупные обновления. Например, в начале 2017 года вышла обновленная версия Dridex с поддержкой техники «атомной бомбардировки» (AtomBombing), а весной 2017 года банкер стал эксплуатировать уязвимости нулевого дня в Microsoft Word. По данным ESET, последняя версия Dridex (4.80) датирована 14 декабря 2017 года.

Шифровальщик FriedEx, в свою очередь, привлек внимание исследователей в июле 2017 года. В конце прошлого лета именно этот вымогатель атаковал сразу несколько медицинских учреждений в Шотландии. Также малварь использовалась в ходе атак на крупные компании и финансовые организации. FriedEx доставляется на конечные машины путем RDP-брутфорса и шифрует каждый файл с помощью случайно сгенерированного ключа RC4.

Еще в декабре 2017 года эксперты ESET изучили один из образцов FriedEx и обнаружили сходство исходного кода шифровальщика с Dridex. Более детальное исследование показало, что FriedEx использует те же методы сокрытия информации, что подтвердило гипотезу специалистов: два семейства вредоносных программ созданы одними и теми же авторами.

Исследователи ESET объясняют, что во всех бинарных файлах Dridex и FriedEx совпадает функция, используемая для генерации UserID – строки из нескольких атрибутов зараженной машины. Далее UserID выступает в качестве идентификатора компьютера жертвы в составе ботнета Dridex или для шифратора FriedEx.

Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer)

Еще одна общая черта – одинаковая последовательность функций в бинарных файлах Dridex и FriedEx. Это может быть результатом использования в обоих проектах единой кодовой базы или статической библиотеки.

Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer)

Некоторые изученные образцы Dridex и FriedEx содержат путь PDB. На его основе можно увидеть, что бинарные файлы Dridex и FriedEx собраны в одном и том же каталоге.

Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer)

Кроме того, специалисты ESET обнаружили несколько образцов Dridex и FriedEx с одной и той же датой компиляции. Различие во временных метках составляет всего несколько минут, что позволяет предположить, что авторы одновременно компилировали оба проекта.

Авторы банкера Dridex создали шифровальщик FriedEx (он же BitPaymer)

Наконец, Dridex и FriedEx используют один и тот же вредоносный упаковщик. Но сам по себе этот факт не может служить «уликой», поскольку данный упаковщик замечен и в других семействах малвари, включая QBot, Emotet и Ursnif.

Помимо очевидного сходства с Dridex, исследователи выявили новую, ранее не задокументированную 64-битную версию FriedEx.

По мнению специалистов ESET, авторы Dridex сохраняют высокую активность, обновляя свой банковский троян, но теперь пополнили «портфолио» шифровальщиком. Группировка легко адаптируется к новым трендам и разрабатывает новые инструменты, которые могут конкурировать с наиболее продвинутыми в своей категории.