По мнению экспертов из компании Forcepoint, следующие версии банковской троянской программы Dridex смогут похищать биткоин-кошельки. В ходе анализа вредоносной программы специалисты нашли в коде небольшие изменения, которые позволяют Dridex осуществлять обход защитных механизмов, а также некоторые элементы, косвенно свидетельствующие о ее будущих возможностях.
Больше всего изменений претерпел конфигурационный файл. Теперь он передается с командного сервера на целевые компьютеры не в виде открытого текста в XML-файле, а как зашифрованный двоичный код. Это нововведение сильно усложняет проведение реверс-инжиниринга. Помимо этого, троянская программа может формировать черные списки «подозрительных» хостов.
По словам экспертов, Dridex не сразу заражает целевой компьютер. Вначале в систему проникает загрузчик, который осуществляет сбор информации о хосте и отправляет ее на командный сервер. Злоумышленников интересуют такие сведения, как имя компьютера, данные об операционной системе, а также системная информация, включая перечень установленного программного обеспечения.
Таким образом операторам Dridex удалось постепенно создать базу данных пользователей. Они решили использовать ее для того, чтобы определять компьютеры с программным обеспечением, которое связано с информационной безопасностью и реверс-инжинирингом. Разработчики Dridex в последних версиях программы добавили некоторые хосты в черный список. Если загрузчик Dridex проникает в систему, находящуюся в черном списке, то основной модуль вредоносной программы не будет установлен на компьютер. Как утверждают исследователи, этот функционал является уникальным и нехарактерным для банковских троянских программ.
По мнению экспертов, Dridex в будущем получит еще одну уникальную функцию. В настоящее время троянская программа может проводить мониторинг зараженной системы на предмет наличия биткоин-кошельков. Таким образом, разработчики вредоносной программы, которая может похищать учетную информацию для авторизации в банковских сервисах, намерены создать базу популярного программного обеспечения для работы с криптовалютами. Сейчас Dridex ищет на зараженных системах биткойн-кошельки Bitcore, BreadWallet, Coinbase и CoinsBank. Добавление функционала для хищения биткоинов в следующие версии Dridex является лишь вопросом времени.