Информационная безопасностьНовости

Новая версия банкера Dridex избегает внимания антивирусов

Банковский троян Dridex известен ИБ-специалистам с 2014 года и до сих пор является одной из наиболее сложных вредоносных программ в своей категории. Разработка малвари продолжается по сей день: регулярно появляются новые версии трояна, а периодически выходят и крупные обновления.

В начале июня 2019 года независимый ИБ-эксперт Брэд Дункан обнаружил новую разновидность Dridex, которая использовала Application Whitelisting, чтобы блокировать или отключать элементы Windows Script Host. Фактически это означает, что злоупотребление WMI (WMIC) позволяет малвари применять скрипты XLS  и обходить защитные механизмы.

Теперь более детальный отчет о новой версии трояна обнародовали эксперты компании eSentire. Исследователи пишут, что изначально при загрузке образца на VirusTotal лишь 6 из 60 защитных решений «опознавали» в Dridex вредоносное ПО. По состоянию на 02 июля 2019 года число обнаружений увеличилось до 46 из 60.

Также сообщается, что изменилась инфраструктура библиотек Dridex. DLL-файлы трояна представляют собой 64-разрядные библиотеки DLL с именами файлов, которые загружаются легитимными системными EXE-файлами Microsoft Windows. Пути этих файлов, их имена и хеши SHA256 меняются каждый раз, когда жертва входит в систему на зараженном Windows-хосте.

Аналитики eSentire пишут, что новая вариация Dridex распространяется посредством спамерских писем с вредоносными документами-вложениями. В эти документы встроены вредоносные макросы, срабатывание которых может быть спровоцировано различным взаимодействием с жертвой (все зависит от конкретной системной среды).

Эксперты предупреждают, что многие антивирусные решения могут обнаруживать подозрительное поведение Dridex, но затруднятся с точным определением проблемы. Учитывая постоянные изменения, которые происходя в инфраструктуре трояна, signature-based антивирусы могут оказаться бесполезными против Dridex.

Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.