Trickbot Malware έχει νέα κόλπα επάνω του μανίκι: Coronavirus-Θεματικά δείγματα Fool προϊόντα ασφαλείας και στόχος Εταιρείες τηλεπικοινωνιών

Πίσω το 2016, ο Trickbot ξεκίνησε τη ζωή του ως ταπεινό τραπεζικό trojan, αλλά γρήγορα έγινε φανερό ότι ήταν πολύ περισσότερο από αυτό. Αυτή τη στιγμή, σχεδόν τέσσερα χρόνια αργότερα, μάλλον είναι ασφαλές να πούμε ότι είναι η πιο ευρέως χρησιμοποιούμενη οικογένεια κακόβουλων προγραμμάτων στον κόσμο και δεν υπάρχει τίποτα που να υποδηλώνει ότι οι εγκληματίες του κυβερνοχώρου πρόκειται σύντομα να απομακρυνθούν από αυτήν.

Η βασική του έκκληση έγκειται στην ευελιξία της, η οποία προέρχεται από το σπονδυλωτό της σχέδιο. Οι δημιουργοί κακόβουλων προγραμμάτων μπορούν να αναπτύξουν και να προσθέσουν πρόσθετα και να κάνουν εύκολα το trojan να κάνει ένα ευρύ φάσμα εργασιών. Εν τω μεταξύ, με λίγες τροποποιήσεις, το Trickbot μπορεί να γίνει πιο μυστικό και εξαιρετικά δύσκολο να απομακρυνθεί. Πρόσφατα δείγματα που ανακαλύφθηκαν από ερευνητές ασφαλείας δείχνουν γιατί οι εγκληματίες του κυβερνοχώρου το αγαπούν τόσο πολύ.

Τα δείγματα Trickbot χρησιμοποιούν τον πανικό που περιβάλλει την επιδημία του coronavirus για να αποφύγουν λύσεις ασφάλειας

Το Trickbot, όπως και πολλές άλλες οικογένειες κακόβουλων προγραμμάτων, χρησιμοποιεί τις τρέχουσες πανδημίες από κοροναϊούς στις καμπάνιες του. Αντίθετα από άλλες συμμορίες, οι χειριστές του Trickbot δεν χρησιμοποιούν το ξέσπασμα για να ξεγελάσουν τα θύματα να ανοίξουν ένα αρχείο ή να κάνουν κλικ σε ένα σύνδεσμο. Αυτή τη φορά, ο κορωναϊός παίζει ρόλο στην πλαστογράφηση του υπολογιστή.

Σύμφωνα με τον ιστοχώρο ειδήσεων ασφαλείας Bleeping Computer, πρόσφατα, οι εγκληματίες πραγματοποίησαν αλλαγές στον κρυπτογράφο του κακόβουλου λογισμικού - ένα πρόγραμμα που σχεδιάστηκε για να κρυπτογραφεί τον κώδικα του εκτελέσιμου και να το κάνει νόμιμο. Οι ερευνητές διέσχισαν τις ιδιότητες των νέων αρχείων και ανακάλυψαν ότι οι συμβολοσειρές από τις ειδήσεις του Coronavirus τοποθετήθηκαν σε πεδία όπως "Περιγραφή αρχείου", "Όνομα προϊόντος" και "Πνευματικά δικαιώματα".

Αυτό μοιάζει με μια περίεργη κίνηση. Μετά από όλα, η θλιβερή αλήθεια είναι ότι οι τακτικοί χρήστες είναι απίθανο να ερευνήσουν ένα άγνωστο αρχείο με πολλές λεπτομέρειες πριν την εκτοξεύσουν και ακόμα και αν το έκαναν, υπάρχει μια καλή πιθανότητα ότι θα μπερδευτούν από μια σελίδα Ιδιότητες που μοιάζει με αυτή. Υπάρχει μέθοδος πίσω από όλα αυτά, όμως.

Ο Vitali Kremez από την SentinelLabs δήλωσε στο Bleeping Computer ότι είναι πιθανότατα μια τεχνική ανίχνευσης της απάτης. Προφανώς, οι χειριστές του Trickbot το χρησιμοποίησαν στο παρελθόν και φαίνεται να είναι ιδιαίτερα αποτελεσματικοί ενάντια σε λύσεις ασφάλειας που βασίζονται στην τεχνητή νοημοσύνη και στη μηχανική μάθηση.

Αυτές οι νέες προσθήκες υποδηλώνουν ότι οι φορείς εκμετάλλευσης της Trickbot είναι αποφασισμένοι να υπονομεύσουν επιτυχώς τους στόχους τους. Αυτό, παρεμπιπτόντως, υποστηρίζεται επίσης από την ανεξάρτητη έρευνα που πραγματοποίησε η Bitdefender νωρίτερα αυτό το μήνα.

Το Trickbot επιτίθεται στους στόχους μέσω του ΠΑΑ

Οι ερευνητές του Bitdefender παρακολουθούσαν τη συμπεριφορά του Trickbot, όταν στα τέλη Ιανουαρίου παρατηρούσαν ότι οι απατεώνες πιέζονταν να ενημερώσουν. Υπήρξε ένα νέο μοντέλο που οι εμπειρογνώμονες δεν είχαν δει πριν. Ορισμένες από τις λειτουργίες δεν λειτουργούσαν σωστά, γεγονός που έδειξε ότι η ενημέρωση ήταν ακόμα ένα έργο σε εξέλιξη, αλλά παρόλα αυτά κατάφερε να δώσει στους ειδικούς μια ιδέα για τα μελλοντικά σχέδια των απατεώνων.

Η νέα ενότητα, μαζί με ένα αρχείο ρυθμίσεων, μεταφορτώνεται από έναν από τους πολλούς διαθέσιμους διακομιστές Command & Control (C & C) μετά από επιτυχή μόλυνση. Το Trickbot λαμβάνει μια λίστα στόχων και το πρώτο του καθήκον είναι να δούμε αν έχουν ενεργοποιημένες τις υπηρεσίες Remote Desktop Protocol (RDP). Εάν ένας στόχος έχει ανοιχτό RDP, το όνομά του επιστρέφεται στην C & C μέσω αίτησης POST. Ο διακομιστής ανταποκρίνεται με μια συλλογή από ονόματα χρηστών και κωδικούς πρόσβασης που χρησιμοποιεί το Trickbot για να προσπαθήσει και να βγάλει βίαια το δρόμο του και να θέσει σε κίνδυνο την στοχοθετημένη οργάνωση.

Είναι δύσκολο να πούμε αν η νέα ενότητα έχει χρησιμοποιηθεί στο φυσικό περιβάλλον ακόμα. Σύμφωνα με τον κατάλογο των στόχων, ο ερευνητής του Bitdefender είδε ωστόσο ότι θα μπορούσε σύντομα να εξαπολυθεί εναντίον των εταιρειών τηλεπικοινωνιών στις ΗΠΑ και το Χονγκ Κονγκ. Οι απατεώνες θα μπορούσαν επίσης να δίνουν τις θέσεις τους σε εταιρείες του χρηματοπιστωτικού τομέα, καθώς και σε οργανισμούς που ασχολούνται με την εκπαίδευση και την επιστημονική έρευνα.

Οι δύο νέες προσθήκες αντιπροσωπεύουν το τελευταίο σε μια πολύ μεγάλη σειρά ενημερώσεων που οι χειριστές του Trickbot έχουν προσθέσει στο κακόβουλο λογισμικό τους. Μπορούμε μόνο να μαντέψουμε σε ποια κατεύθυνση πρόκειται να ακολουθήσει ο δούρειος ίππος, αλλά μπορούμε να είμαστε αρκετά σίγουροι ότι θα παραμείνει αγαπημένος με τους εγκληματίες του κυβερνοχώρου.