Reading Time: 2 minutes

Vários trojan bankers populares, e que existem há vários anos partilham loaders conhecidos, afirmam os investigadores da Trend Micro.

A análise mostra que os modulos e loaders e, no geral, a sua estrutura interna é semelhante para as ameaças Emotet, Ursnif, Dridex e BitPaymer, dizem os investigadores.

O Emotet, que foi descoberto em 2014, já infetou várias vítimas com payloads, incluindo o Gootkit, ZeusPanda, IcedID, TrickBot e Dridex.

Em investigações anteriores, outros investigadores já tinham relatado as suas semelhanças nas técnicas de ofuscação utilizadas tanto pelo Emotet quando pelo Ursnif / Gozi-ISFB; um trojan banker considerado uma das principais ameaças globais e cujo seu código fonte vazou há alguns anos.

O Dridex tem sido outro trojan bastante  ativo, que tem como alvo tanto bancos quanto instituições financeiras, conhecido pelos vários métodos e técnicas usados para roubar informaçõs pessoais.

Ao contrário dos três, o BitPaymer é um trojan ransomware usado principalmente em ataques contra instituições médicas e contendo técnicas criptográficas e de disseminação na rede via e-mail.

O BitPaymer é mantido pelo mesmo grupo que distribui o Dridex e que também estava por trás do infame ransomware Locky.

emotet-ursnif-dridex-bitpaymer-linked-codes_4-1024x801

During our analysis, we found evidence that the malware families identified had shared loaders: the overview of the payload decryption procedure, and the loaders’ internal data structure. While the first figure of the disassembled PE packers had small differences in their arithmetic operations’ instructions, we found that the four payload decryption procedures were identical in data structures’ overview on the way they decrypted the actual PE payloads.

 

emotet-ursnif-dridex-bitpaymer-linked-codes_1-1024x615

 

Como já referido, os investigadores identificaram que a estrutura interna dos malwares também é muito identica.

Further analysis also revealed that the internal data structure of the four malware families were the same. We compared the disassembled codes from the samples we had and noticed the encrypted payload address and size placed into the decryption procedure located at offset 0x34 and 0x38.

emotet-ursnif-dridex-bitpaymer-linked-codes_2-1024x596

 

Ver mais detalhes da investigação aqui.