A Trickbot Malware új trükköket készített a tokjából: Coronavírus-témájú minták, bolond biztonsági termékek és célzott telekommunikációs vállalatok
2016-ban a Trickbot szerény banki trójaiként kezdte meg életét, de hamarosan nyilvánvalóvá vált, hogy ennél sokkal több. Most, közel négy évvel később, valószínűleg biztonságos azt mondani, hogy ez a világ legszélesebb körben használt malware családja, és semmi nem utal arra, hogy a számítógépes bűnözők hamarosan elfordulnának tőle.
Fő vonzereje a sokoldalúság, amely a moduláris kialakításából származik. A rosszindulatú programok készítői fejleszthetnek és beépíthetnek bővítményeket, és könnyen megkönnyítik a trójai sokféle feladat elvégzését. Eközben néhány csípéssel a Trickbot lopakodóbbá válhat és rendkívül nehéz eltávolítani. A biztonsági kutatók által felfedezett legújabb minták azt mutatják, hogy miért szeretik a számítógépes bűnözők annyira.
A trickbot-minták a koronavírus kitörését körülvevő pánikot használják a biztonsági megoldások elkerülésére
A Trickbot, mint sok más rosszindulatú programcsalád, kampányaiban a jelenlegi koronavírus-járványt használja. Más bandákkal ellentétben a Trickbot operátorok nem használják a kitörést az áldozatok becsapására fájl megnyitásához vagy linkre kattintásához. Ezúttal a koronavírus szerepet játszik a számítógép becsapásában.
A Bleeping Computer biztonsági hírportál szerint a közelmúltban a bűnözők módosították a rosszindulatú programok kripterét - egy olyan programot, melynek célja a végrehajtható program kódolása és legitim megjelenése. A kutatók áttekintették az új fájlok tulajdonságait, és rájöttek, hogy a Coronavirus hírjelentéseinek karakterláncait olyan mezőkbe helyezték, mint a "Fájl leírása", "Termék neve" és "Szerzői jog".
Ez furcsa lépésnek tűnik. Végül is, a szomorú igazság az, hogy a szokásos felhasználók valószínűleg nem keresnek egy ismeretlen fájlt olyan sok részletben, mielőtt elindítanák, és még ha meg is tették, akkor nagy a esély arra, hogy megzavarja egy ilyen Tulajdonságok oldal, amely így néz ki.. Ennek ellenére van módszer.
Vitali Kremez, a SentinelLabs, elmondta a Bleeping Computer-nek, hogy ez valószínűleg észleléselkerülési technika. Nyilvánvaló, hogy a Trickbot operátorok már a múltban is használták, és különösen hatékonynak tűnik a mesterséges intelligencián és a gépi tanuláson alapuló biztonsági megoldások ellen.
Ezek az új kiegészítések azt sugallják, hogy a Trickbot üzemeltetői eltökélt szándéka, hogy sikeresen veszélyeztessék céljaikat. Ezt egyébként a Bitdefender által a hónap elején végzett független kutatások is alátámasztják.
A trickbot az RDP révén támad célokat
A Bitdefender kutatói figyelemmel kísérték a Trickbot viselkedését, amikor január végén észrevették, hogy a gólyák frissítést sürgetnek. Volt egy új modell, amelyet a szakértők még nem láttak. Egyes funkciók nem működtek megfelelően, ami azt mutatta, hogy a frissítés még folyamatban volt, ám ennek ellenére sikerült képet adnia a szakértőknek arról, hogy mi lehet a bűnözők jövőbeli terve.
Az új modult, valamint a konfigurációs fájlt, a sikeres fertőzés után a sok elérhető Command & Control (C&C) szerverről letöltik. A Trickbot megkapja a célok listáját, és első feladata annak ellenőrzése, hogy engedélyezték-e a Remote Desktop Protocol (RDP) szolgáltatásaikat. Ha a célpontnak van nyitott RDP-je, akkor a nevét POST-kéréssel visszajuttatják a C&C-hez. A szerver a felhasználónevek és jelszavak gyűjteményével válaszol, amelyeket a Trickbot használ annak megpróbálására, hogy bejuttassa magát és veszélyeztesse a megcélzott szervezetet.
Nehéz megmondani, hogy az új modult még természetesen használják-e. A célok listája alapján azonban a Bitdefender kutatója látta, hogy hamarosan fel lehet szabadítani az Egyesült Államok és Hongkong távközlési társaságai ellen. A csalók megfigyelhetik a pénzügyi szektorban működő vállalatokat, valamint az oktatással és tudományos kutatással foglalkozó szervezeteket is.
A két új kiegészítés a legfrissebb frissítések egy nagyon hosszú sorában jelenik meg, amelyet a Trickbot operátorai hozzáadtak malware-hez. Csak azt tudhatjuk meg, hogy a trójai milyen irányba halad tovább, de biztosak lehetünk benne, hogy továbbra is a számítógépes bűnözők kedvence marad.