Хотя предполагаемые авторы и распространители Dyre были взяты в России под стражу, новый зловред, появившийся в дикой природе, проявил достаточно сходства с этим банковским троянцем, чтобы исследователи задумались о возможной взаимосвязи.

Судя по набору веб-инжектов, новоявленного банкера, именуемого TrickBot, пока интересуют лишь клиенты австралийских банков. Анализ, проведенный в Fidelis Cybersecurity, показал, что новый зловред выглядит как переписанный Dyre. Однако исследователи не преминули отметить, что при сходстве некоторых аспектов (например, использование загрузчика в обоих случаях) код TrickBot все же имеет отличия, заставляющие усомниться в наличии родственной связи.

Согласно результатам отчета Fidelis, опубликованного в прошлые выходные, TrickBot написан на C++, тогда как Dyre — на C. Новобранец также использует Microsoft CryptoAPI вместо встроенных функций AES или SHA256, как в Dyre. Наконец, вместо непосредственного исполнения команд TrickBot взаимодействует с диспетчером задач.

«Исходя из этих наблюдений можно с уверенностью утверждать, что между Dyre и TrickBot существует явная связь, однако в TrickBot также вложены новые усилия разработчиков, и в значительном объеме, — пишут исследователи. — С меньшей степенью уверенности мы пришли к заключению, что к созданию TrickBot причастен как минимум один разработчик исходного Dyre».

Группа, предположительно стоящая за Dyre, была арестована в Москве в ноябре прошлого года, после многочисленных случаев кражи паролей к банковским и другим ценным аккаунтам жертв заражения. Данный банкер распространялся через спам-письма, снабженные вредоносным вложением или ссылкой на зараженный ресурс.

Первое, на что обратили внимание исследователи TrickBot, — это кастомный шифратор, предусмотренный для загрузчика TrickLoader. Как оказалось, он идентичен криптору, который использовали авторы спам-бота Cutwail; примечательно, что крупнейший ботнет Pushdo/Cutwail в свое время активно участвовал в умножении популяции Dyre.

В ходе анализа TrickBot был идентифицирован ряд функций, имеющих аналоги в Dyre. «Этот бот также снабжен очень похожей, но несколько модифицированной версией декриптора C&C-трафика, ранее использовавшегося в Dyre, — рассказывают исследователи. — Эта подпрограмма в данном случае используется для шифрования/расшифровки всех данных. Алгоритм, который Dyre использовал для генерации AES-ключа и вектора инициализации из первых 48 байт данных по методу рехеширования, известен как «функция derive_key». Так вот, в новом боте эта функция слегка изменена».

Первые образцы TrickBot, проанализированные в Fidelis, были ориентированы на сбор информации о системе, однако недавно был обнаружен новый бот, имеющий модуль для внедрения кода в страницы, отображаемые в браузере.

«Хотя в этом боте пока отсутствует многое из того, что ранее наблюдалось в Dyre, очевидно, что код, используемый в этом боте, и код Dyre коррелируют, — заключают исследователи. — Пока бот, по всей видимости, находится в разработке, злоумышленники торопятся с перестройкой ботнета Cutwail, подготавливая его к будущим спам-рассылкам. Интересно было бы понаблюдать, сможет TrickBot догнать либо превзойти своего предшественника или нет».

Категории: Аналитика, Вредоносные программы