Szkodliwe oprogramowanie Trickbot ma nowe sztuczki: próbki o tematyce koronawirusa Oszukują produkty zabezpieczające i docelowe firmy telekomunikacyjne

W 2016 roku Trickbot rozpoczął swoje życie jako skromny trojan bankowy, ale szybko okazało się, że to znacznie więcej. Obecnie, prawie cztery lata później, prawdopodobnie bezpiecznie jest powiedzieć, że jest to najczęściej używana rodzina szkodliwego oprogramowania na świecie, i nic nie wskazuje na to, że cyberprzestępcy wkrótce się od niej odwrócą.

Jego głównym atutem jest wszechstronność, która wynika z modułowej konstrukcji. Twórcy złośliwego oprogramowania mogą opracowywać i dodawać wtyczki i łatwo sprawić, że trojan wykonuje szeroki zakres zadań. Tymczasem, z kilkoma poprawkami, Trickbot może stać się bardziej ukryty i niezwykle trudny do usunięcia. Najnowsze próbki odkryte przez badaczy bezpieczeństwa pokazują, dlaczego cyberprzestępcy tak bardzo to lubią.

Próbki Trickbota wykorzystują panikę otaczającą wybuch koronawirusa, aby uniknąć rozwiązań bezpieczeństwa

Trickbot, podobnie jak wiele innych rodzin złośliwego oprogramowania, wykorzystuje w swoich kampaniach obecną pandemię koronawirusa. Jednak w przeciwieństwie do innych gangów, operatorzy Trickbot nie wykorzystują epidemii, aby oszukać ofiary w celu otwarcia pliku lub kliknięcia łącza. Tym razem koronawirus odgrywa rolę w oszukiwaniu komputera.

Według serwisu informacyjnego Bleeping Computer, ostatnio przestępcy wprowadzili zmiany w kodzie szyfrującym złośliwego oprogramowania - programie zaprojektowanym do szyfrowania kodu pliku wykonywalnego i nadania mu legalności. Badacze przejrzeli właściwości nowych plików i odkryli, że ciągi z raportów informacyjnych Coronavirus zostały umieszczone w polach takich jak „Opis pliku”, „Nazwa produktu” i „Prawo autorskie”.

To wygląda na dziwny ruch. W końcu smutna prawda jest taka, że zwykli użytkownicy raczej nie zbadają nieznanego pliku w tak wielu szczegółach przed jego uruchomieniem, a nawet jeśli tak, istnieje duża szansa, że zostaną pomyleni przez stronę właściwości, która wygląda tak. Jednak za tym wszystkim kryje się metoda.

Vitali Kremez z SentinelLabs powiedział Bleeping Computer, że najprawdopodobniej jest to technika unikania wykrycia. Najwyraźniej operatorzy Trickbot używali go w przeszłości i wydaje się, że jest szczególnie skuteczny przeciwko rozwiązaniom bezpieczeństwa opartym na sztucznej inteligencji i uczeniu maszynowym.

Te nowe dodatki sugerują, że operatorzy Trickbot są zdeterminowani, aby skutecznie naruszyć swoje cele. Nawiasem mówiąc, jest to również wspierane przez niepowiązane badania przeprowadzone przez Bitdefender na początku tego miesiąca.

Trickbot atakuje cele za pośrednictwem RDP

Badacze Bitdefender monitorowali zachowanie Trickbota, gdy pod koniec stycznia zauważyli, że oszuści nalegali na aktualizację. Był nowy model, którego eksperci nie widzieli wcześniej. Niektóre funkcje nie działały poprawnie, co pokazało, że aktualizacja była wciąż w toku, ale mimo to udało się dać ekspertom pojęcie, jakie mogą być przyszłe plany oszustów.

Nowy moduł wraz z plikiem konfiguracyjnym jest pobierany z jednego z wielu dostępnych serwerów Command & Control (C&C) po udanej infekcji. Trickbot otrzymuje listę celów, a jego pierwszym zadaniem jest sprawdzenie, czy mają włączone usługi RDP (Remote Desktop Protocol). Jeśli cel ma otwarty RDP, jego nazwa jest wysyłana z powrotem do centrum kontroli za pośrednictwem żądania POST. Serwer odpowiada zbiorem nazw użytkowników i haseł, których Trickbot używa, aby brutalnie wkroczyć i narazić na atak docelową organizację.

Trudno powiedzieć, czy nowy moduł był już używany na wolności. Na podstawie listy celów, które widział badacz Bitdefender, można go wkrótce wypuścić przeciwko firmom telekomunikacyjnym w USA i Hongkongu. Oszuści mogą również skupiać się na firmach z sektora finansowego, a także organizacjach zajmujących się edukacją i badaniami naukowymi.

Dwa nowe dodatki reprezentują najnowsze z bardzo długiej linii aktualizacji, które operatorzy Trickbota dodali do swojego złośliwego oprogramowania. Możemy tylko zgadywać, w którym kierunku pójdzie trojan, ale możemy być całkiem pewni, że pozostanie on ulubieńcem cyberprzestępców.