Dridex - это очень уклончивый и технически сложный банковский троян. Несмотря на то, что в его основе лежит относительно старый код вредоносной программы, за прошедшие годы он был существенно обновлен и стал способен использовать очень эффективные техники проникновения, что делает его особенно опасным.
Что такое вредоносная программа Dridex?
Dridex - это один из самых технологически продвинутых банковских троянов, существующих в настоящее время. Основной целью этой вредоносной программы является кража банковских учетных данных у своих жертв. Dridex существует с 2014 года и получает постоянные обновления, благодаря которым вредоносная программа развивается и становится все более совершенной.
Благодаря постоянной эволюции, Dridex в настоящее время поддерживает очень продвинутые функции, такие как метод инъекции Atom Bombing, веб-инъекции в Chrome и эксплойт нулевого дня для Microsoft Word, которые помогли вредоносной программе Dridex проникнуть в бесчисленное количество машин, несмотря на доступные инструменты удаления.
Dridex классифицируется как эволюция GameOver ZeuS, заимствуя у этого вируса архитектуру C&C и совершенствуя ее, что делает управляющие серверы очень трудноуловимыми. Банковский троян Dridex также имеет сходство с другими вредоносными программами - CRIDEX и Bugat. Однако если последние в качестве вектора атаки в основном используют уязвимости, то Dridex также использует почтовый спам для заражения машин своих жертв.
Общее описание вредоносной программы Dridex
Согласно новой информации, правоохранительные органы США и Великобритании раскрыли личности людей, стоящих за Evil Corp - кибербандой, разработавшей Dridex и несколько других вредоносных программ. Максим Якубец, проживающий в Москве, предположительно является лидером группы. Его видели за рулем Lamborghini Huracan с номерным знаком, на котором по-русски написано "вор". В результате расследования Государственный департамент США объявил награду в 5 миллионов долларов за выдачу Якубеца. Это самое крупное вознаграждение, когда-либо предлагавшееся за киберпреступников.
Всплеск популярности трояна Dridex был зафиксирован в период между его первым обнаружением в природе и 2015 годом. Последующие вредоносные кампании были менее многочисленными и, возможно, не такими глобальными, как те, что наблюдались до 2015 года. Обычно вредоносная программа нацелена на жертв в Европе: более половины зарегистрированных заражений приходится на Великобританию, хотя в опасности также находятся пользователи из Германии, Франции и США. Примечательно, что банковский троян Dridex никогда не атакует жертв в Российской Федерации, что может указывать на то, что группа, стоящая за этой угрозой, происходит из этой страны. Dridex является одним из самых популярных банковских троянов в мире, занимая седьмое место в десятке самых распространенных вирусов этого типа по количеству заражений в 2015 году, согласно данным flashpoint-intel.
Вредоносная программа может выполнять ряд действий по краже данных, включая захват форм, перехват кликов и внедрение на сайт. Это позволяет Dredex похищать конфиденциальные данные, такие как логины и пароли, когда жертва входит в свой банковский аккаунт. Эти данные могут быть использованы злоумышленниками в будущих кампаниях или проданы другим преступникам. Кроме того, вредоносная программа способна делать скриншоты, что позволяет хакерам собирать личную информацию о жертве. Более того, вредоносная программа способна изменять содержимое просматриваемых пользователем веб-страниц, используя технику web-inject, поэтому, когда пользователь вводит логин и пароль, вместо входа в личный кабинет эти конфиденциальные данные отправляются напрямую злоумышленникам.
Троян Dridex использует модель работы Botnet as a Service, которая дает право зараженным ПК становиться источниками атак для будущих кампаний. Это помогает вредоносной программе распространяться более эффективно и делает ее атаки более глобальными.
Некоторые из предыдущих версий этой вредоносной программы имели довольно уникальный механизм сохранения, который исследователи назвали "невидимым". Он был назван так потому, что библиотека динамических ссылок (DLL) вредоносной программы сохранялась на диске, а значение реестра генерировалось для запуска вредоносной DLL при загрузке системы непосредственно перед выключением компьютера.
Новая версия maldocs Dridex содержит сотни URL-адресов, с которых можно загрузить вредоносную программу. Такой подход затрудняет уничтожение вредоносного ПО хостинг-провайдерами, инструментами удаления и регистраторами доменов. Это также увеличивает шансы на загрузку полезной нагрузки. Средствам контроля безопасности необходимо блокировать большое количество URL-адресов, чтобы предотвратить загрузку вредоносной программы.
Dridex был в очередной раз обновлен и перестал использовать цикл сообщений отладочного вывода. Вредоносные программы также поменяли технику обхода защиты с использования XSL Script Processing (ID T1220) на Signed Binary Proxy Execution using Rundll32 (ID T1218.011).
В течение 2020 года "команда", стоящая за Dridex, активно использовала в своих кампаниях вредоносные документы Excel с Macro 4.0. Часто эти мальдоки проверяли язык системы, в которой они были открыты, и завершали выполнение, если он не совпадал.
Исполнение вредоносной программы Dridex
Процесс выполнения Dridex довольно короткий и простой. Как и многие другие вредоносные программы, банковский троян попадает в систему жертвы в виде вредоносного вложения, обычно представляющего собой файл Microsoft Office, который доставляется в спаме. После того как пользователь загружает и открывает такой файл и включает макросы, начинается процесс заражения. Троян Dridex способен использовать различные техники для доставки основной полезной нагрузки. Полезная нагрузка может быть загружена непосредственно Microsoft Office или внедренными системными приложениями, например, explorer.exe, или использована с помощью эксплойта уязвимостей, таких как Microsoft Equation Editor. После того как загруженная полезная нагрузка начинает выполняться, она начинает основную вредоносную деятельность, такую как запись себя в автозапуск в реестре, поиск установленного программного обеспечения, выполнение скриптов, подключение к серверу C2 и многое другое.
Предотвращение атак Dridex
Пользователи могут избежать заражения банковскими троянами, такими как Dridex, если будут избегать подозрительно выглядящих писем. Для полной безопасности не следует запускать файлы, загруженные из писем, которые были получены от неизвестных отправителей. Явным признаком вредоносной природы загруженных файлов может служить то, что при открытии файлы Microsoft Office предлагают пользователю включить макросы, чего никогда не следует делать, чтобы избежать заражения. Кроме того, рекомендуется постоянно держать на компьютере обновленную версию надежного антивирусного продукта и средства удаления.
Как распространяется троян Dridex?
Dridex в основном распространяется с помощью спам-рассылок и попадает на целевые машины в виде вредоносных вложений. Письма оформлены так, что напоминают сообщения, связанные с финансами, такие как счета-фактуры от реальных компаний, и обычно содержат вредоносный документ Microsoft Office в качестве вложения.
Социальная инженерия используется для того, чтобы убедить потенциальных жертв скачать и открыть вложенные файлы, которые при запуске выполняют вредоносный макрос, устанавливающий на машину банковский троян Dridex.
Заключение
Несмотря на то, что популярность Dridex несколько снизилась с момента его первоначального выпуска, он по-прежнему является чрезвычайно популярной и способной вредоносной программой, которая используется в нескольких атаках, направленных на компании в Европе и Северной Америке. Благодаря продвинутым механизмам сохранения и почти не отслеживаемым C&C-серверам, атаки Dridex очень трудно отразить, что делает этот вирус чрезвычайно эффективным.