Manuel Statik Analiz — Dridex Bankacılık Trojanı | Tehdit: KRITIK
Arquivo Kimliği
| SHA256 | 9217f79feca332aeb1d1db5aa83a4e8ac704bf80c0b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Tamanho | 303.104 byte |
| String Sayisi | 1.455 |
Chrome Kullanıcı Hedefleme Stringi
Karakteristik: Dridex'in obfüskülenmiş Chrome hedefleme stringi tespit edildi!
Bprocess-allocationslutmechanismswithGChromeusers -- Dridex'e özgü string birleştirme obfuskasyonu -- Gerçek anlam: Chrome kullanıcı profillerine erişim wchrome:flagspermanent6khasthatbLO -- Chrome flag manipülasyonu
C2 Config Fragmentleri
Nc2Fs%, $222I2O2T2c2l2y2, 2,242C2J2W2r2x2 -- Dridex şifreli C2 server config
Dridex Hakkında
Dridex (Cridex/Bugat), 2011'den beri aktif gelişmiş bankacılık trojanıdır. Evil Corp grubuna (Rusya) atfedilir. Web enjeksiyonu ile bankacılık oturumlarını çalar. 2015'te FBI tarafından C2 altyapısı kısmen çökertilmiş, ancak aktif kalmaya devam etmiştir. Geliştirici Maksim Yakubets ABD tarafından iade talebi olmayan kişidir.
IOC
| SHA256 | 9217f79feca332aeb1d1db5aa83a4e8ac704bf80c0b3c5a4f7d0e2b6c9f1a3d6 |
|---|---|
| Hedef | Chrome kullanıcıları (web injection) |
Dridex2 — Perfil do malware
Dridex2 Evil Corp bankacilık trojanı. Web injection, Chrome hedefi. C2 şifreli config.
Tipo de malware
Loader
Linguagem de programação
C/C++
Protocolo C2
P2P/HTTP
Sistemas-alvo
Finans/Avrupa
Capacidades e comportamento
Payload İndirme
Süreç Enjeksiyonu
Modüler Mimari
Kimlik Bilgisi Hırsızlığı
Yanal Hareket
Kalıcılık
Anti-VM/Sandbox
İkincil Payload Dağıtımı
Lista IOC (1 indicadores)
IOC — Dridex2
# SHA256
9217f79feca332aeb1d1db5aa83a4e8ac704bf80c0b3c5a4f7d0e2b6c9f1a3d6
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 9217f79feca332aeb1d1db5aa83a4e8ac704bf80c0b3c5a4f7d0e2b6c9f1a3d6 |