События

Арсенал Dridex пополнился техникой AtomBombing

Арсенал Dridex пополнился техникой AtomBombing

Специалисты команды IBM X-Force сообщили о появлении новой, четвертой версии, печально известного банковского трояна Dridex. Ключевыми особенностями обновления являются использование техники AtomBombing, описанной специалистами enSilo в минувшем году, и новых методов шифрования конфигурационного файла.

Авторы Dridex всегда включают в исходный код версию вредоносного ПО, что позволяет экспертам отследить эволюцию трояна. Первая версия Dridex появилась в конце 2014 года и просуществовала совсем недолго. Такая же судьба постигла Dridex v2, которая была выпущена в начале 2015 года. В апреле того же года появилась третья, более стабильная, версия трояна, использующая различные техники для незаметного подключения к хостам, используемым для управления инфицированным компьютером, перехвата трафика пользователя и перенаправления жертвы на клон банковского сайта при помощи локального прокси-сервера.

Функционал Dridex v4 во многом повторяет предыдущую версию, за исключением того, что теперь банковский троян загружает свой вредоносный код непосредственно в память хоста, используя технику AtomBombing. Метод, позволяющий внедрить вредоносный код в процессы Windows, основан на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. Поскольку таблицы являются общедоступными, любое приложение может модифицировать содержащиеся в них данные.

По словам экспертов, создатели Dridex разработали свою технику AtomBombing на основе PoC-кода, представленного специалистами enSilo. Авторы использовали только один его фрагмент и дописали все остальное, получив технику, позволяющую загружать вредоносный код в блок RWX-памяти в обход механизмов обнаружения атаки AtomBombing, реализованных после публикации enSilo.

Новая версия Dridex пока была замечена только в атаках на клиентов британских банков, но специалисты ожидают, что вредоносная кампания распространится и на другие страны.

Источник

Автор: Сергей Куприянов
1.03.2017 (08:50)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.