Dridex v4 - использует технику AtomBombing


Dridex v4 (IBM X-Force) - четвертая версия печально известного банковского трояна Dridex, использующая техники AtomBombing, а также наделенная новым методом шифрования конфигурационного файла.

 

Функционал Dridex v4 во многом повторяет предыдущую версию, а именно:

  • использует различные техники для незаметного подключения к хостам, используемым для управления инфицированным компьютером;
  • способна перехватывать трафик пользователя;
  • перенаправлять жертв на клон банковского сайта при помощи локального прокси-сервера.


Однако Dridex v4 теперь может загружать свой вредоносный код непосредственно в память хоста, используя технику AtomBombing. Метод, позволяющий внедрить вредоносный код в процессы Windows, основан на использовании таблиц атомов, в которых Windows хранит идентификаторы и строковые переменные для поддержки функций других приложений. А поскольку таблицы являются общедоступными, то любое приложение может модифицировать содержащиеся в них данные.

Предполагается, что создатели Dridex разработали свою технику AtomBombing на основе PoC-кода, представленного специалистами enSilo. Авторы использовали всего лишь один его фрагмент и дописали все остальное, получив технику, позволяющую загружать вредоносный код в блок RWX-памяти в обход механизмов обнаружения атаки AtomBombing, реализованных после публикации enSilo.

Троян Dridex v4 был замечен только в атаках на клиентов британских банков. Однако предполагается, что вредоносная кампания распространится и на другие страны.