По словам экспертов из Fidelis Cybersecurity, новая банковская троянская программа TrickBot, обнаруженная ими в сентябре, имеет сходства с известным вредоносным программным обеспечением Dyre.
Операции с применением Dyre в большинстве своем были прекращены после обыска в офисе московской компании-дистрибьютора кинопродукции «25 этаж», проведенного российскими правоохранителями в ноябре минувшего года. Рассылка электронных писем, содержащих Dyre, была прекращена не сразу, но именно после рейда полиции масштабы кампании стали постепенно снижаться. Активность Dyre сошла на нет к январю этого года.
Как сообщают эксперты Fidelis Cybersecurity, киберпреступники, разработавшие Dyre, возобновили свою активность, пользуясь теми же методами и схожей вредоносной программой. Специалисты, в первую очередь, обратили внимание на схожесть модуля TrickLoader, осуществляющего загрузку TrickBot на систему жертвы, с загрузчиком Dyre.
Однако две троянские программы все же имеют некоторые различия. TrickBot – это, вероятнее всего, не клон, а обновленная версия Dyre. Большинство элементов Dyre написаны на языке C, а для создания TrickBot использовался C++. Это может быть косвенным свидетельством того, что Dyre и TrickBot написаны разными разработчиками. Следует отметить, что новая вредоносная программа шифрует данные с помощью Microsoft Crypto API, а в Dyre применялись SHA-256 и AES.