Открыть сервис

Dridex

Dridex (также известный как Bugat, Cridex) — это троянская программа, относящаяся к классу банковских вредоносных программ (банкеров), предназначенная для кражи конфиденциальных данных, в первую очередь учётных записей для доступа к системам онлайн-банкинга, а также для распространения другого вредоносного ПО. Dridex функционирует как ботнет, управляемый через централизованную командную инфраструктуру (C&C-серверы), и известен своей способностью к постоянной эволюции и обходу средств антивирусной защиты.

История

Первые упоминания о Dridex относятся к 2011 году, когда он был обнаружен под именем Bugat. Изначально программа использовалась для атак на пользователей онлайн-банкинга в Европе. В 2014 году после ареста разработчиков другого известного банкера — Zeus — активность Dridex резко возросла, поскольку многие киберпреступники перешли на его использование.

В 2015 году была проведена крупная международная операция по ликвидации инфраструктуры Dridex, координируемая Европолом и ФБР. В результате были арестованы несколько подозреваемых, а серверы управления были отключены. Однако, несмотря на это, программа не исчезла: её исходный код был переработан, и появились новые версии, использующие децентрализованные механизмы управления (пиринговые сети) для повышения устойчивости.

В последующие годы Dridex продолжал развиваться, интегрируя в себя функции для атак на криптовалютные кошельки, а также модули для кражи паролей из браузеров и почтовых клиентов. В 2020-х годах Dridex часто используется как средство первоначального доступа для доставки программ-вымогателей (ransomware), таких как Ryuk и Conti.

Распространение и заражение

Основным способом распространения Dridex является массовая рассылка фишинговых электронных писем. Письма маскируются под официальные уведомления от банков, налоговых служб, курьерских служб или коммерческих организаций. В письме содержится вложение (документ Microsoft Word или Excel с макросами, PDF-файл со встроенным скриптом) или ссылка на вредоносный файл, размещённый на облачных сервисах.

При открытии вложения пользователю предлагается включить поддержку макросов (якобы для корректного отображения содержимого). После активации макросов запускается скрипт, который загружает и устанавливает основное тело Dridex на компьютер жертвы. В более поздних версиях используются методы безмакросной атаки, например, использование уязвимостей в браузерах или офисных пакетах.

Устройство и функциональность

Dridex представляет собой модульный троян. Его архитектура включает:

  • Загрузчик (Downloader): отвечает за первоначальное заражение и загрузку основных модулей.
  • Основной модуль (Core): обеспечивает связь с командным сервером, шифрование трафика, маскировку своей активности в системе (например, внедрение в процессы легитимных программ).
  • Модуль веб-инжектов (Webinjects): ключевой компонент. При посещении пользователем сайта онлайн-банкинга Dridex подменяет HTML-код страницы, добавляя поля для ввода дополнительных данных (номер карты, CVV-код, одноразовые пароли). Введённые данные перехватываются и отправляются злоумышленникам.
  • Модуль кражи данных (Formgrabber): перехватывает данные, вводимые в формы на веб-страницах, а также пароли, сохранённые в браузерах.
  • Модуль VNC (Virtual Network Computing): позволяет злоумышленнику в реальном времени видеть экран заражённого компьютера и управлять им, что даёт возможность совершать транзакции от имени жертвы.

Для сокрытия своей деятельности Dridex использует методы обфускации кода, шифрование конфигурационных файлов и связь с C&C-серверами через протокол HTTPS. В последних версиях связь осуществляется через распределённую сеть (P2P), что делает отключение ботнета более сложным.

Классификация и варианты

Dridex относится к семейству банковских троянов, эволюционировавших из кода Zeus. Известны следующие основные варианты:

  • Dridex v1 (Bugat): ранняя версия, использовавшая централизованные серверы.
  • Dridex v2 (Cridex): версия с улучшенными механизмами веб-инжектов и шифрования.
  • Dridex v3: версия, появившаяся после 2015 года, использующая P2P-сеть для управления.
  • Dridex v4: модификация, нацеленная на кражу данных криптовалютных кошельков и паролей от почтовых сервисов.

Применение

Основное применение Dridex — киберпреступная деятельность, направленная на хищение денежных средств. Злоумышленники используют его для:

  • Кражи учётных данных: получение доступа к банковским счетам, платёжным системам (PayPal, WebMoney) и криптовалютным биржам.
  • Проведения несанкционированных транзакций: после получения доступа злоумышленники переводят деньги на подконтрольные счета.
  • Распространения другого вредоносного ПО: Dridex часто используется для доставки программ-вымогателей (ransomware) и шпионского ПО, что позволяет атакующим расширить атаку (например, зашифровать данные в корпоративной сети после кражи доступа к банку).

Интересные факты

  • Dridex считается одним из самых долгоживущих и адаптируемых банковских троянов, активно действующим с 2011 года.
  • В 2015 году в результате операции Европола и ФБР было арестовано несколько лиц, причастных к управлению ботнетом, а также изъято более 700 серверов, используемых для управления.
  • Dridex активно использует социальную инженерию: письма с вредоносными вложениями часто имитируют уведомления от известных логистических компаний (DHL, FedEx) или налоговых органов.
  • По данным аналитиков, в 2020-2021 годах Dridex был одним из главных инструментов для доставки программ-вымогателей в корпоративные сети.

Критика и меры противодействия

Dridex подвергается критике со стороны специалистов по информационной безопасности за высокую эффективность и сложность обнаружения. Основные меры противодействия включают:

  • Обучение пользователей: повышение осведомлённости о фишинговых письмах и опасности включения макросов в документах из ненадёжных источников.
  • Использование антивирусного ПО: современные антивирусные решения (Kaspersky, ESET, Bitdefender, Dr.Web) способны обнаруживать Dridex на основе сигнатур и поведенческого анализа.
  • Настройка политик безопасности: отключение макросов в офисных приложениях по умолчанию, ограничение прав пользователей (принцип минимальных привилегий).
  • Мониторинг сетевого трафика: анализ аномальных соединений с неизвестными IP-адресами, особенно по протоколу HTTPS.
  • Регулярное обновление ПО: установка обновлений безопасности для операционной системы и приложений.

Источники

  • Отчёты аналитических центров по кибербезопасности (Group-IB, Positive Technologies, Kaspersky Lab, ESET, Trend Micro, CrowdStrike, FireEye).
  • Материалы расследований ФБР и Европола (операция по ликвидации ботнета Dridex, 2015).
  • Публикации в специализированных изданиях (The Hacker News, BleepingComputer, SecurityLab, Xakep.ru).
  • Документация по вредоносному ПО из открытых баз данных (VirusTotal, MalwareBazaar, Any.Run).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →