У вредоносного ПО Trickbot появились новые хитрости: образцы на тему коронавирусов для защиты от несанкционированного доступа и целевые телекоммуникационные компании
Еще в 2016 году Trickbot начал свою жизнь как скромный банковский троян, но быстро стало очевидно, что это намного больше, чем это. Прямо сейчас, спустя почти четыре года, вероятно, можно с уверенностью сказать, что это наиболее широко используемое семейство вредоносных программ в мире, и нет никаких оснований предполагать, что киберпреступники собираются отказаться от него в ближайшее время.
Его главная привлекательность заключается в его универсальности, которая исходит от его модульной конструкции. Создатели вредоносных программ могут разрабатывать и добавлять плагины и легко заставлять трояна выполнять широкий спектр задач. Между тем, с помощью нескольких настроек, Trickbot может стать незаметнее и его очень трудно удалить. Недавние образцы, обнаруженные исследователями в области безопасности, показывают, почему киберпреступники так любят это
Образцы Trickbot используют панику вокруг вспышки коронавируса, чтобы избежать решений безопасности
Trickbot, как и многие другие семейства вредоносных программ, использует текущую пандемию коронавируса в своих кампаниях. Однако, в отличие от других банд, операторы Trickbot не используют вспышку, чтобы обмануть жертв, открыв файл или щелкнув по ссылке. На этот раз коронавирус играет роль в обмане компьютера.
Согласно новостному веб- сайту безопасности Bleeping Computer, в последнее время преступники внесли изменения в криптографическое средство вредоносного ПО - программу, предназначенную для шифрования исполняемого кода и придания ему легитимности. Исследователи просмотрели свойства новых файлов и выяснили, что строки из новостных отчетов Coronavirus помещаются в такие поля, как «Описание файла», «Название продукта» и «Авторское право».
Это выглядит как странный ход. В конце концов, печальная правда в том, что обычные пользователи вряд ли изучат неизвестный файл во многих деталях перед его запуском, и даже если они это сделают, есть большая вероятность, что они будут сбиты с толку страницей свойств, которая выглядит следующим образом., За всем этим стоит метод.
Виталий Кремез из SentinelLabs сказал Bleeping Computer, что это, скорее всего, метод уклонения от обнаружения. По-видимому, операторы Trickbot использовали его в прошлом, и это, кажется, особенно эффективно против решений в области безопасности, которые основаны на искусственном интеллекте и машинном обучении.
Эти новые дополнения предполагают, что операторы Trickbot полны решимости успешно скомпрометировать свои цели. Это, кстати, также подтверждается несвязанными исследованиями, проведенными Bitdefender в начале этого месяца.
Трикбот атакует цели через RDP
Исследователи Bitdefender наблюдали за поведением Трикбота, когда в конце января они заметили, что мошенники настаивали на обновлении. Была новая модель, которую эксперты раньше не видели. Некоторые функции не работали должным образом, что показало, что обновление все еще находится в стадии разработки, но, несмотря на это, ему удалось дать экспертам представление о будущих планах мошенников.
Новый модуль вместе с файлом конфигурации загружается с одного из множества доступных серверов управления и контроля (C & C) после успешного заражения. Trickbot получает список целей, и его первая задача состоит в том, чтобы увидеть, включены ли у них службы протокола удаленного рабочего стола (RDP). Если у цели есть открытый RDP, ее имя отправляется обратно в C & C через запрос POST. Сервер отвечает набором имен пользователей и паролей, которые Trickbot использует для того, чтобы попытаться грубо взломать и скомпрометировать целевую организацию.
Трудно сказать, использовался ли новый модуль в дикой природе. Однако, основываясь на перечне целей, которые увидел исследователь Bitdefender, он может вскоре быть применен против телекоммуникационных компаний в США и Гонконге. Мошенники могут также нацеливаться на компании в финансовом секторе, а также на организации, которые занимаются образованием и научными исследованиями.
Два новых дополнения представляют последние в очень длинной линейке обновлений, которые операторы Trickbot добавили в свое вредоносное ПО. Мы можем только догадываться, в каком направлении пойдет троян, но мы можем быть уверены, что он останется фаворитом у киберпреступников.