トリックボットマルウェアに新たなトリックが加わりました:コロナウイルスをテーマにしたサンプルがセキュリティ製品を欺き、通信会社を標的に
2016年に、Trickbotは謙虚な銀行のトロイの木馬としてその生活を始めましたが、それはそれ以上のものであることがすぐに明らかになりました。 4年近くたった今、世界で最も広く使用されているマルウェアファミリであると言うのはおそらく安全であり、サイバー犯罪者がすぐにそれをやめることを示唆するものは何もありません。
その主な魅力は、その汎用性にあります。これは、モジュラー設計に由来します。マルウェアの作成者はプラグインを開発して追加し、トロイの木馬にさまざまなタスクを簡単に実行させることができます。一方、いくつかの調整により、Trickbotはステルスになり、削除が非常に困難になります。セキュリティ研究者によって発見された最近のサンプルは、サイバー犯罪者がなぜそれを愛しているのかを示しています。
Trickbotサンプルは、コロナウイルスの発生を取り巻くパニックを利用して、セキュリティソリューションを回避します。
Trickbotは、他の多くのマルウェアファミリと同様に、キャンペーンで現在のコロナウイルスパンデミックを使用しています。しかし、他のギャングとは異なり、Trickbotのオペレーターは、アウトブレイクを使用して被害者をだましてファイルを開いたりリンクをクリックさせたりしません。今回は、コロナウイルスがコンピュータをだましている。
セキュリティニュースWebサイトのBleeping Computerによると、最近、犯罪者はマルウェアのクリプター(実行可能ファイルのコードを暗号化して合法的に見せるように設計されたプログラム)を変更しました。研究者は新しいファイルのプロパティを調べ、Coronavirusニュースレポートの文字列が「ファイルの説明」、「製品名」、「著作権」などのフィールドに配置されていることを発見しました。
これは奇妙な動きのように見えます。結局のところ、悲しい真実は、通常のユーザーが起動する前にその多くの詳細で未知のファイルを調査する可能性は低いということであり、たとえそれを行ったとしても、このようなプロパティページに混乱する可能性が高い。ただし、これらすべての背後にはメソッドがあります。
SentinelLabsのVitali Kremez氏はBleeping Computerに、これはおそらく検出回避技術であると語った。どうやら、Trickbotオペレーターは過去にこれを使用しており、人工知能と機械学習に依存するセキュリティソリューションに対して特に効果的であるようです。
これらの新しい追加は、Trickbotのオペレーターがターゲットを正常に侵害することを決意していることを示唆しています。ちなみに、これは今月初めにBitdefenderによって行われた無関係な研究によってもサポートされています。
トリックボットはRDPを介してターゲットを攻撃します
Bitdefenderの研究者は、1月下旬にTrickbotの動作を監視していました。専門家がこれまで見たことのない新しいモデルがありました。一部の機能は正しく動作していなかったため、アップデートはまだ進行中の作業でしたが、それにもかかわらず、詐欺師の将来の計画が何であるかを専門家に伝えることができました。
新しいモジュールは、構成ファイルとともに、感染が成功した後に利用可能な多くのコマンド&コントロール(C&C)サーバーの1つからダウンロードされます。 Trickbotはターゲットのリストを受け取り、その最初のタスクは、リモートデスクトッププロトコル(RDP)サービスが有効になっているかどうかを確認することです。ターゲットにオープンRDPがある場合、その名前はPOST要求を介してC&Cに返送されます。サーバーは、Trickbotが標的となる組織に侵入し、侵入しようとするために使用するユーザー名とパスワードのコレクションで応答します。
新しいモジュールがまだ実際に使用されているかどうかを判断するのは困難です。しかし、Bitdefenderの研究者が見たターゲットのリストに基づいて、米国および香港の通信会社に対してすぐに解き放たれる可能性があります。詐欺師はまた、金融セクターの企業だけでなく、教育や科学研究を扱う組織にも目を向けている可能性があります。
2つの新しい追加は、Trickbotのオペレーターがマルウェアに追加した非常に長いアップデートの最新のものです。トロイの木馬が次にどの方向に進むのかを推測することはできますが、サイバー犯罪者のお気に入りのままであることはかなり確信できます。