来自Fidelis Cybersecurity的安全研究人员发现2016年9月份出现的新型网银木马可能与Dyre网银木马有关。
这款木马名为TrickBot,与Dyre极为相似。Dyre于2015年被俄罗斯当局发现后,出现的次数逐渐减少。
Fidelis的专家表示,种种线索表明Dyre的编写者确实已经将Dyre的模式和代码重用到另一款木马中。用于感染受害者的TrickBot中的模块TrickLoader与Dyre的加载器非常相似。
但TrickBot并不是Dyre的直接克隆,而是在其基础上进行了升级。
两者之间有很多不同,最明显的不同是代码风格,看起来是由不同的程序员或者开发团队编写。首先,TrickBot多数使用C++编写,而Dyre主要使用C编写。
第二,TrickBot使用TaskScheduler和COM实现对设备的持续感染,而Dyre直接运行指令感染系统。
第三,TrickBot使用Microsoft Crypto API进行加密操作,而Dyre使用SHA256哈希和AES加密。
所有这些巨大的差异都表明有人对老版本的Dyre进行了翻新,添加了新代码。
Fidelis表示TrickBot目前使用浏览器webinject技术攻击澳洲银行,而Dyre惯用的手法是重定向攻击。
长按二维码,关注“代码卫士”
您的专属代码体检专家