A Trickbot Malware új trükköket készített a tokjából: Coronavírus-témájú minták, bolond biztonsági termékek és célzott telekommunikációs vállalatok

Trickbot Coronavirus-Themed Samples

2016-ban a Trickbot szerény banki trójaiként kezdte meg életét, de hamarosan nyilvánvalóvá vált, hogy ennél sokkal több. Most, közel négy évvel később, valószínűleg biztonságos azt mondani, hogy ez a világ legszélesebb körben használt malware családja, és semmi nem utal arra, hogy a számítógépes bűnözők hamarosan elfordulnának tőle.

Fő vonzereje a sokoldalúság, amely a moduláris kialakításából származik. A rosszindulatú programok készítői fejleszthetnek és beépíthetnek bővítményeket, és könnyen megkönnyítik a trójai sokféle feladat elvégzését. Eközben néhány csípéssel a Trickbot lopakodóbbá válhat és rendkívül nehéz eltávolítani. A biztonsági kutatók által felfedezett legújabb minták azt mutatják, hogy miért szeretik a számítógépes bűnözők annyira.

A trickbot-minták a koronavírus kitörését körülvevő pánikot használják a biztonsági megoldások elkerülésére

A Trickbot, mint sok más rosszindulatú programcsalád, kampányaiban a jelenlegi koronavírus-járványt használja. Más bandákkal ellentétben a Trickbot operátorok nem használják a kitörést az áldozatok becsapására fájl megnyitásához vagy linkre kattintásához. Ezúttal a koronavírus szerepet játszik a számítógép becsapásában.

A Bleeping Computer biztonsági hírportál szerint a közelmúltban a bűnözők módosították a rosszindulatú programok kripterét - egy olyan programot, melynek célja a végrehajtható program kódolása és legitim megjelenése. A kutatók áttekintették az új fájlok tulajdonságait, és rájöttek, hogy a Coronavirus hírjelentéseinek karakterláncait olyan mezőkbe helyezték, mint a "Fájl leírása", "Termék neve" és "Szerzői jog".

Ez furcsa lépésnek tűnik. Végül is, a szomorú igazság az, hogy a szokásos felhasználók valószínűleg nem keresnek egy ismeretlen fájlt olyan sok részletben, mielőtt elindítanák, és még ha meg is tették, akkor nagy a esély arra, hogy megzavarja egy ilyen Tulajdonságok oldal, amely így néz ki.. Ennek ellenére van módszer.

Vitali Kremez, a SentinelLabs, elmondta a Bleeping Computer-nek, hogy ez valószínűleg észleléselkerülési technika. Nyilvánvaló, hogy a Trickbot operátorok már a múltban is használták, és különösen hatékonynak tűnik a mesterséges intelligencián és a gépi tanuláson alapuló biztonsági megoldások ellen.

Ezek az új kiegészítések azt sugallják, hogy a Trickbot üzemeltetői eltökélt szándéka, hogy sikeresen veszélyeztessék céljaikat. Ezt egyébként a Bitdefender által a hónap elején végzett független kutatások is alátámasztják.

A trickbot az RDP révén támad célokat

A Bitdefender kutatói figyelemmel kísérték a Trickbot viselkedését, amikor január végén észrevették, hogy a gólyák frissítést sürgetnek. Volt egy új modell, amelyet a szakértők még nem láttak. Egyes funkciók nem működtek megfelelően, ami azt mutatta, hogy a frissítés még folyamatban volt, ám ennek ellenére sikerült képet adnia a szakértőknek arról, hogy mi lehet a bűnözők jövőbeli terve.

Az új modult, valamint a konfigurációs fájlt, a sikeres fertőzés után a sok elérhető Command & Control (C&C) szerverről letöltik. A Trickbot megkapja a célok listáját, és első feladata annak ellenőrzése, hogy engedélyezték-e a Remote Desktop Protocol (RDP) szolgáltatásaikat. Ha a célpontnak van nyitott RDP-je, akkor a nevét POST-kéréssel visszajuttatják a C&C-hez. A szerver a felhasználónevek és jelszavak gyűjteményével válaszol, amelyeket a Trickbot használ annak megpróbálására, hogy bejuttassa magát és veszélyeztesse a megcélzott szervezetet.

Nehéz megmondani, hogy az új modult még természetesen használják-e. A célok listája alapján azonban a Bitdefender kutatója látta, hogy hamarosan fel lehet szabadítani az Egyesült Államok és Hongkong távközlési társaságai ellen. A csalók megfigyelhetik a pénzügyi szektorban működő vállalatokat, valamint az oktatással és tudományos kutatással foglalkozó szervezeteket is.

A két új kiegészítés a legfrissebb frissítések egy nagyon hosszú sorában jelenik meg, amelyet a Trickbot operátorai hozzáadtak malware-hez. Csak azt tudhatjuk meg, hogy a trójai milyen irányba halad tovább, de biztosak lehetünk benne, hogy továbbra is a számítógépes bűnözők kedvence marad.

March 19, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.