Активисты швейцарского ИБ-проекта Abuse.ch предупреждают о распространении новой итерации вредоносной программы Feodo, она же Cridex и Bugat. Анализ модификации, нареченной Dridex, подтвердил, что это результат эволюции одной из более ранних вариаций, не связанный с предыдущей версией, известной как Geodo.

Dridex был обнаружен в минувшем июле экспертами из испанской ИБ-компании S21sec. Проведенное ими совместно с Abuse.ch исследование показало, что modus operandi зловреда мало изменился, зато он обрел ряд новых примечательных черт. Как и предыдущие итерации, Dridex распространяется через спам, исходящий со взломанных почтовых аккаунтов. Его C&C-серверы размещены на скомпрометированных ресурсах, для внутренних коммуникаций используется TCP-порт 8080.

Нововведением является загрузчик с ограниченным функционалом, который используется на первом этапе заражения. Dridex также оброс рядом дополнительных модулей, включая VNC и веб-инжекты, использует редиректы и расширенный список IP-адресов для связи с C&C. Структура URL и код несколько видоизменяются для каждого варианта, поскольку зловред теперь атакует не только жителей Германии, но также замечен в Великобритании, Ирландии, ОАЭ, США и Швейцарии. Так, если распространители более ранних версий Feodo использовали спам, имитирующий уведомления преимущественно немецких телеоператоров (Deutsche Telekom, Vodafone), то Dridex может также раздаваться под другими брендами, например от имени BT (British Telecommunications).

Участники Abuse.ch полагают, что авторы Dridex взяли за основу бизнес-модель ZeuS/GameOver и предоставляют свое детище как сервис (Malware-as-a-Service). Поэтому можно ожидать появления ряда родственных ботнетов, ориентированных на разные финансовые институты и разные страны.

Швейцарские активисты отслеживают статистику по Dridex с середины августа и ведут соответствующие черные списки. Текущее состояние доступно на сайте Abuse.ch в разделе Feodo Tracker, где новоявленный зловред фигурирует как версия D. По состоянию на 10 сентября в списке Abuse.ch числятся 50 командных серверов Dridex, 14 из них занесены в черные списки SBL, распространяемые антиспамерской организацией Spamhaus.

Примечательно, что Geodo, предыдущая итерация Feodo, как и его предшественник, исчез с радаров Abuse.ch почти сразу после анонса о постановке его на контроль. Список С&С-серверов Dridex, в том числе активных, пока регулярно пополняется, новейшие записи датированы 3 сентября.

На миниатюре представлена статистика Abuse.ch по C&C Feodo Version D (Dridex).

Категории: Вредоносные программы, Спам