По крайней мере, один из разработчиков банковского трояна Dyre (Dyreza) недавно начал работать над новым вредоносом, получившим название «TrickBot».
За последние несколько лет Dyre заразил сотни тысяч устройств по всему миру в попытке похитить информацию пользователей более чем 1000 банков и других организаций. Активность Dyre прекратилась в середине ноября 2015, это было связано, как предполагается, с мерами, принятыми российскими властями.
Есть основания считать, что некоторые из авторов Dyre были арестованы с результате этих действий, но возможно, что несколько злоумышленников остались на свободе и запустили новый проект. Исследователи из Fidelis Cybersecurity выяснили, что вредоносная программа TrickBot имеет тесную связь с Dyre.
TrickBot был впервые замечен в сентябре и атаковал преимущественно австралийские банки, например: ANZ, Westpac, St. George и NAB.
У TrickBot встречаются функции, очень похожие на Dyre, но сам стиль кодирования отличается. Например, в новом трояне гораздо больше кода на C++, в том время как Dyre используется в основном C. Кроме того, TrickBot использует Microsoft CryptoAPI.
Первые проанализированные исследователями образцы TrickBot шли с модулем, предназначенным для сбора системной информации с зараженного устройства. А в середине октября был обнаружен новый модуль, делающий попытки внедриться в браузер.
«Добытая нами информация позволяет с уверенностью сказать, что существует четкая связь между Dyre и TrickBot. Однако в TrickBot прослеживается некое развитие и усовершенствование. Мы полагаем, что разработчики Dyre и TrickBot это одни и те же люди» - заявляют эксперты Fidelis.
