Арсенал Dridex пополнился техникой AtomBombing

Специалисты команды IBM X-Force сообщили о появлении новой, четвертой версии, печально известного банковского трояна Dridex. Ключевыми особенностями обновления являются использование техники AtomBombing, описанной специалистами enSilo в минувшем году, и новых методов шифрования конфигурационного файла.

Авторы Dridex всегда включают в исходный код версию вредоносного ПО, что позволяет экспертам отследить эволюцию трояна. Первая версия Dridex появилась в конце 2014 года и просуществовала совсем недолго. Такая же судьба постигла Dridex v2, которая была выпущена в начале 2015 года. В апреле того же года появилась третья, более стабильная, версия трояна, использующая различные техники для незаметного подключения к хостам, используемым для управления инфицированным компьютером, перехвата трафика пользователя и перенаправления жертвы на клон банковского сайта при помощи локального прокси-сервера.

Функционал Dridex v4 во многом повторяет предыдущую версию, за исключением того, что теперь банковский троян загружает свой вредоносный код непосредственно в память хоста, используя технику AtomBombing. Метод, позволяющий внедрить вредоносный код в процессы Windows, основан на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Поскольку таблицы являются общедоступными, любое приложение может модифицировать содержащиеся в них данные.

По словам экспертов, создатели Dridex разработали свою технику AtomBombing на основе PoC-кода, представленного специалистами enSilo. Авторы использовали только один его фрагмент и дописали все остальное, получив технику, позволяющую загружать вредоносный код в блок RWX-памяти в обход механизмов обнаружения атаки AtomBombing, реализованных после публикации enSilo.

Новая версия Dridex пока была замечена только в атаках на клиентов британских банков, но специалисты ожидают, что вредоносная кампания распространится и на другие страны.