Банковский троянец Dridex получил солидное обновление и теперь скрывается от обнаружения, используя технику инъекции кода, известную как AtomBombing.

В начале февраля исследователи из IBM X-Force идентифицировали версию 4 Dridex, уже активно используемую в атаках против британских банков. Эксперты ожидают, что в скором времени мишенью обновленного троянца станут также финансовые институты США.

«За долгий период господства Dridex v3 мы зафиксировали несколько заметных изменений в работе зловреда, таких как модификация механизмов противодействия анализу, атаки с использованием редиректов, смена мошеннического поведения, — пишут исследователи в отчете. — Поэтому нас не сильно удивило появление новой, заметно отличающейся версии этого банкера».

Как и его предшественники, Dridex v4 выказывает типичное для этого зловреда поведение: отслеживает заходы жертвы на банковские сайты и крадет логины, пароли и другие учетные данные. Однако техника внедрения кода банкера подверглась большим изменениям. По свидетельству исследователей, антивирусные и прочие защитные решения особо отслеживают инъекции в системные процессы, и потому прежние, хорошо известные приемы Dridex было достаточно легко обнаружить. По этой причине вирусописатели решили прибегнуть к совершенной новой для банкеров технике сокрытия — AtomBombing.

Эта техника использует совершенно иной подход к инъекции кода, она не полагается на вызовы API, которые легко отследить. AtomBombing, ставшую достоянием общественности в октябре прошлого года, разработали исследователи из enSilo. «AtomBombing использует таблицы атомов Windows и нативный API NtQueueApcThread для копирования полезной нагрузки в пространство памяти для чтения/записи целевого процесса, — пояснили разработчики. — Затем используется NtSetContextThread, чтобы с помощью простой последовательности действий возвратно-ориентированного программирования выделить память для чтения/записи/исполнения, скопировать в нее полезную нагрузку и запустить на исполнение. В заключение восстанавливается оригинальный контекст угнанного потока».

В случае с Dridex v4 техника AtomBombing, как обнаружили в X-Force, используется лишь для «записи полезной нагрузки, а затем применяется другой способ получения разрешений на исполнение и на само исполнение». «Dridex попросту вызывает NtProtectVirtualMemory из процесса инъекции, чтобы изменить область памяти с уже записанной нагрузкой на (память на) чтение/запись/исполнение», — поясняют исследователи. Это позволяет зловреду использовать асинхронную процедуру Windows для вызова метода GlobalGetAtomA, чтобы с его помощью исполнить полезную нагрузку.

«Заключительный этап — исполнение полезной нагрузки, — сказано в отчете X-Force. — Чтобы не вызывать CreateRemoteThread, Dridex вновь использует APC. Использование прямого APC-обращения к нагрузке было бы очень подозрительным, поэтому Dridex v4 использует тот же метод GlobalGetAtomW, чтобы пропатчить GlobalGetAtomA и заставить его исполнить полезную нагрузку».

Из других новшеств Dridex исследователи отметили модифицированный алгоритм именования, улучшенное шифрование для настроек и обновленный механизм сохранения присутствия в системе.

Все годы существования Dridex его авторы упорно занимались совершенствованием своего детища. Масштабы кампаний с участием Dridex могли меняться в ту или иную сторону, но развитие вредоносного кода шло своим чередом. В январе эксперты Flashpoint обнаружили новый вариант банкера, способный обходить защиту UAC Windows. Два года назад распространители Dridex взяли на вооружение технику сокрытия от обнаружения, известную как AutoClose: вредоносный макрос не исполнялся, пока жертва не закроет вложенный в письмо документ.

Категории: Аналитика, Вредоносные программы