Обнаружен преемник банковского трояна Dyre

Как сообщают эксперты компании Fidelis Cybersecurity, обнаруженный ими в прошлом месяце новый банковский троян TrickBot имеет много общего с давно известным вредоносом Dyre. Большинство операций с использованием Dyre прекратились после того, как в ноябре 2015 года российские правоохранительные органы устроили обыск в московской компании «25 этаж», занимающейся производством и дистрибуцией кинопродукции. Рассылка содержащих Dyre спам-писем прекратилась не сразу, однако после полицейского рейда стала постепенно уменьшаться, пока не снизилась почти до нуля в январе текущего года.

По мнению экспертов Fidelis Cybersecurity, стоящая за Dyre киберпреступная группировка или отдельные ее члены возобновили свою деятельность, используя те же методы и схожее вредоносное ПО. Прежде всего исследователи обратили внимание на то, что модуль TrickLoader, загружающий троян на систему жертвы, очень похож на загрузчик Dyre.

Правда, между двумя троянами есть и различия. TrickBot является, скорее, не клоном, а обновленной версией Dyre. Большая часть оригинального трояна написана на языке C, тогда как TrickBot – на C++, из чего можно предположить, что программы созданы разными разработчиками. С целью добиться персистентности на зараженном устройстве TrickBot использует TaskScheduler и COM, а Dyre запускает команды непосредственно на системе. Для криптографических операций новый вредонос использует Microsoft Crypto API, тогда как старый применяет алгоритмы SHA-256 и AES.