„Trickbot“ kenkėjiška programa turi naujų triukų: „Coronavirus“ pavyzdžiai - kvaili saugos produktai ir tikslinės telekomunikacijų įmonės

Trickbot Coronavirus-Themed Samples

2016 m. „Trickbot“ savo gyvenimą pradėjo kaip nuolankus bankų Trojos arklys, tačiau greitai paaiškėjo, kad tai yra kur kas daugiau. Šiuo metu, praėjus beveik ketveriems metams, turbūt galima drąsiai teigti, kad tai plačiausiai naudojama kenkėjiškų programų šeima pasaulyje, ir nėra nieko, kas leistų teigti, kad kibernetiniai nusikaltėliai bet kada ketina nuo jos nusigręžti.

Pagrindinis jo patrauklumas yra jo universalumas, atsirandantis dėl jo modulinės konstrukcijos. Kenkėjiškų programų kūrėjai gali kurti ir pridėti papildinius bei lengvai priversti trojaną atlikti įvairias užduotis. Tuo tarpu, atlikdamas keletą patarimų, „Trickbot“ gali tapti slaptesnis ir ypač sunkiai pašalinamas. Naujausi saugumo tyrinėtojų aptikti pavyzdžiai rodo, kodėl kibernetiniai nusikaltėliai taip mėgsta.

Triukų mėginiai naudoja paniką, apimančią koronaviruso protrūkį, siekiant išvengti saugumo sprendimų

„Trickbot“, kaip ir daugelis kitų kenkėjiškų programų šeimų, savo kampanijose naudoja dabartinę koronaviruso pandemiją. Tačiau, skirtingai nuo kitų gaujų, „Trickbot“ operatoriai nenaudoja protrūkio, kad apgaudinėtų aukas atidarant failą ar spustelėjus nuorodą. Šį kartą koronavirusas vaidina svarbų vaidmenį sukčiaujant kompiuterį.

Kaip rašo saugumo naujienų svetainė „ Bleeping Computer“, neseniai nusikaltėliai pakeitė kenkėjiškų programų kriptą - programą, skirtą šifruoti vykdomosios programos kodą ir padaryti jį teisėtu. Tyrėjai peržvelgė naujų failų ypatybes ir išsiaiškino, kad „Coronavirus“ naujienų ataskaitų eilutės buvo patalpintos tokiuose laukuose kaip „Failo aprašymas“, „Produkto pavadinimas“ ir „Autorių teisės“.

Tai atrodo kaip keistas žingsnis. Galų gale, liūdna tiesa yra ta, kad paprasti vartotojai vargu ar ištirs nežinomą failą, kuriame yra daug detalių prieš paleidžiant jį, ir net jei jie tai padarė, yra didelė tikimybė, kad juos suklaidins „Ypatybės“ puslapis, kuris atrodo taip.. Vis dėlto už viso to slypi metodas.

Vitalijus Kremezas iš „SentinelLabs“ pasakojo „Bleeping Computer“, kad greičiausiai tai yra aptikimo vengimo technika. Matyt, „Trickbot“ operatoriai ja naudojosi praeityje, ir atrodo, kad tai ypač efektyvu prieš saugumo sprendimus, kurie remiasi dirbtiniu intelektu ir mašinų mokymusi.

Šie nauji papildymai rodo, kad „Trickbot“ operatoriai yra pasiryžę sėkmingai pakenkti savo tikslams. Tai, beje, patvirtina ir nesusiję tyrimai, kuriuos anksčiau šį mėnesį atliko „ Bitdefender“.

„Trickbot“ atakuoja taikinius per KPP

„Bitdefender“ tyrėjai stebėjo „Trickbot“ elgesį, kai sausio pabaigoje jie pastebėjo, kad sukčiai verčia atnaujinti. Buvo naujas modelis, kurio ekspertai dar nebuvo matę. Kai kurios funkcijos neveikė tinkamai, o tai parodė, kad atnaujinimas vis dar buvo vykdomas, tačiau nepaisant to, jis sugebėjo ekspertams suteikti idėją, kokie galėtų būti sukčių ateities planai.

Naujas modulis kartu su konfigūracijos failu atsisiunčiamas iš vieno iš daugelio galimų „Command & Control“ (C&C) serverių po sėkmingos infekcijos. „Trickbot“ gauna taikinių sąrašą, o jo pirmoji užduotis yra išsiaiškinti, ar juose įgalintos nuotolinio darbalaukio protokolo (LAP) paslaugos. Jei taikinys turi atvirą KPP, jo vardas C&C siunčiamas atgal naudojant POST užklausą. Serveris reaguoja naudodamas vardų ir slaptažodžių kolekciją, kurią „Trickbot“ naudoja bandydama sukčiauti ir pakenkti tikslinei organizacijai.

Sunku pasakyti, ar naujasis modulis dar buvo panaudotas gamtoje. Remiantis „Bitdefender“ tyrinėtojų taikinių sąrašu, vis dėlto jis netrukus galėtų būti panaudotas telekomunikacijų bendrovėms JAV ir Honkonge. Sukčiai taip pat galėtų atkreipti dėmesį į finansinio sektoriaus įmones ir organizacijas, užsiimančias švietimu ir moksliniais tyrimais.

Du nauji papildymai atspindi naujausią labai ilgą atnaujinimų eilę, kurią „Trickbot“ operatoriai pridėjo prie savo kenkėjiškų programų. Galime tik spėlioti, kuria linkme trojanas eis toliau, tačiau galime būti gana tikri, kad tai ir liks mėgstamiausias kibernetinių nusikaltėlių.

March 19, 2020

Palikti atsakymą