Просто конь, проходите мимо: обновленный троян Dridex невидим для антивирусов

Опубликовано at 16:05
94 0

Новый вариант банковского трояна Dridex сумел удивить экспертов: вредоносное ПО обзавелось возможностью избегать детектирования традиционными антивирусными продуктами.

Троян Dridex специализируется на краже учетных данных интернет-банкинга. Впервые исследователи обнаружили троян Dridex в 2014 году.Авторы вредоноса крайне активны, они постоянно совершенствуют, модифицируют и оснащают свою разработку новыми функциями.

Последние версии этой вредоносной программы были зафиксированы и описаны исследователем в области кибербезопасности Брэдом Дунканом. Эти версии трояна отличались использованием метода белого списка приложений.

В четверг, 27 июня, специалисты компании eSentire, специализирующейся на кибербезопасности, заявили, что Dridex получил еще одно крупное обновление. Когда эксперты загрузили новый вариант трояна на VirusTotal, его распознали как вредоносную программу лишь 6 из 60 антивирусов. При этом в eSentire сичтают, что авторы Dridex все еще совершенствуют свой троян. Это значит, что скоро сообщество безопасников и простые пользователи могут столкнуться с новыми вариантами вредоноса, возможно уже невидимые ни для одного антивируса.

Эксперты АКБ напоминают, что, по данным свежего исследования австрийской лаборатории AV-Comparatives, более 60% антивирусов для Android оказались неэффективными. Из 250 проанализированных антивирусов только 23 обнаружили 100% вредоносных программ. Только 80 приложений (30%) смогли противостоять хотя бы минимальному количеству вредоносов.

«Лаборатория Касперского», со своей стороны, отметила резкий рост числа атак с применением ложных утилит для очистки компьютера. За последний год популярность такого ПО, которое нередко служат прикрытием для прочих зловредов, выросла вдвое, а в России эта угроза коснулась каждого 11-го пользователя. В отличие от легитимных утилит, ложные чистильщики зачастую сами вызывают/имитируют проблемы, с которыми обещают бороться, и любыми способами принуждают жертву купить ненужный ей софт. Элементы тактики hoax-программ, кстати, могут использоваться и в реальных антивирусах недорогой ниши.

Читайте также на АКБ другие актуальные новости про трояны:

…Новый штамм трояна Astaroth, известного под разными громкими именами исследователям с 2017 года, сумел удивить экспертов. Дело в том, что зловред загребает жар чужими руками, то есть использует легитимные утилиты Windows, компоненты антивируса Avast и систему безопасности GAS Tecnologia для похищения пользовательской информации. Об этом сообщили специалисты компании Cybereason, которые изучили механизм работы зловреда в ходе атак, нацеленных на пользователей в Бразилии, которые идут еще с сентября 2018 года и все усиливают свой натиск.

…Эксперты по кибербезопасности из компании «Доктор Веб» обнаружили трояна-кликера, выдающего себя за полезную программу DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. При этом выглядит зловред на редкость убедительно (для неспециалиста). Сама по себе малварь не представляет ни большого интереса, ни большой опасности – это обычный кликер для искусственной накрутки посещаемости веб-сайтов. Что представляет интерес – так это метод, который используется злоумышленниками, чтобы установить зловреда на устройства потенциальных жертв. Целевая аудитория трояна – исключительно пользователи программы DynDNS.

…Аналитики «Лаборатории Касперского» составили отчет об активном сейчас Android-трояне Riltok, который охотится за платежными данными пользователей в России, Франции и других европейских странах. Исследователи описывают функционал зловреда, который перехватывает информацию через веб-инжекты, скрывает уведомления от банковских приложений и блокирует антивирусные процессы. На самом деле, Riltok это несколько разных программ, которые объединяют в семейство по принципу наличия библиотеки librealtalk-jni.so. Эта библиотека, вероятно, названная в честь известного мема, обеспечивает обмен данными с управляющим сервером, обновление вредоносных функций и взаимодействие с зараженным устройством. Распространяется троян через SMS: как правило, операторы Riltok маскируют свой троян под приложения сервисов онлайн-объявлений, распространяемые как SMS-спам. Исследователи также находили кампании, в которых зловред притворялся сервисом для поиска авиабилетов и некого магазина Android-приложений.

…К вирусам, маскирующимся под приложения, мы уже начали привыкать, но чтобы целый VPN-сервис оказался подделкой, фейком для известного вируса AZORult? Наводит на мысль, что ЦА такого VPN это российские пользователи, лишенные с недавних пор VPN официально по закону. Однако, как мы увидим дальше, все обстоит ровно наоборот. Двойное дно так называемого Pirate Chick VPN обнаружили два КБ-исследователя, Лоуренс Абрамс и Майкл Гиллеспи (MalwareHunter). Сообщается, что злоумышленники распространяли программу через фейковое обновление Adobe Flash Player и вредоносную рекламу. В последнем случае при переходе по ссылке человек попадал на типичную с виду продающую страницу, где помимо описания утилиты размещались FAQ, политика конфиденциальности и пользовательские соглашения.

…Специалисты по кибербезопасности из Menlo Labs обнаружили активную еще с августа вредоносную кампанию, направленную на сотрудников банков и других финансовых учреждений в США и Великобритании. По словам экспертов, речь о фишинге и попытках заставить пользователей кликнуть по ссылкам, ведущим к файлам .zip или .gz, где их ждет троян для удаленного доступа Houdini. Для заражения атакуемых систем используются два типа полезной нагрузки – сильно обфусцированные скрипты VBS и файлы JAR. Но интересно не это, интересно, что вредоносные ссылки злоумышленников указывают на легитимный сервис Google Cloud Storage (storage.googleapis.com).

Подписываемся, следим @CyberAgency

Related Post

Двадцать лиц в секунду. Камеры в метро начали распознавать пасажиров

Опубликовано - 18.04.2018 0
В канун ЧМ-2018 в московском метрополитене запустили систему распознавания лиц через камеры. Система действует на станциях с большим пассажиропотоком. Места…

Наркоторговцы уходят из Tor в I2P

Опубликовано - 31.05.2019 0
Преступники из даркнета, наркоторговцы, продавцы оружия, фальшивых документов и чужих кредиток (нередко в одном лице) – вот, кто находится в…