Mød TrickBot, en relativt ny bank Trojan menes at være en nær slægtning til den gamle Dyre bankmand. Ifølge forskere ved Fidelis cybersikkerhed, TrickBot, detekteres i september 2016 har en masse til fælles med Dyre.
Hvis du ikke husker det, Dyre -driften blev afbrudt i november 2015 efter at russiske myndigheder angreb et filmdistributionsselskab i Moskva. Selvom det tog noget tid for Dyre -kampagner at stoppe, hyppigheden af spam -distribution af Dyre begyndte at forsvinde efter intervention fra det russiske politi.
Nu ser det ud til, at TrickBot er her for at tage stedet for den ødelæggende bankmand. Lad os se, hvad forskerne siger.
TrickBot Banking Trojan: Teknisk oversigt
På grund af de rigelige ligheder, Fidelis -forskere formoder, at TrickBot er udviklet af det samme team, eller medlemmer af teamet, der stod bag Dyre -operationen:
I september 2016, Fidelis Cybersecurity blev advaret om en ny malware -bot, der kalder sig TrickBot, som vi mener har en stærk forbindelse til Dyre -banktrojanen. Fra første blik på læsseren, kaldet TrickLoader, der er nogle slående ligheder mellem den og den læssemaskine, som Dyre almindeligvis brugte. Det er ikke før du afkoder botten, dog, at lighederne bliver svimlende.
Den analyserede TrickBot -kampagne er baseret på webinjects, der er målrettet mod banker i Australien. Interessant, bank trojan er mere sandsynligt en omskrevet version, ikke en gammel. Mens botten udfører meget lignende funktioner og aktiviteter, kodestilen er en hel del anderledes end den ældre Dyre -kode på flere måder, forskere note. Nogle af forskellene omfatter måden, hvorpå bot'en grænseflader med TaskScheduler via COM i stedet for at køre kommandoer direkte; bot bruger Microsoft CryptoAPI i stedet for at køre SHA256 eller AES rutine; mere C ++ i boten sammenlignet med den originale Dyre, der for det meste var kodet i C.
På den anden side, forskere siger, at TrickLoader, TrickBot -modulet, der inficerer offeret, er meget lig Dyres læsser.
Baseret på disse observationer, det er tydeligt, at der er en stærk forbindelse mellem Dyre og TrickBot. Men, det skal bemærkes, at TrickBot ikke er en kopi-indsæt-variant, men i stedet viser en betydelig ny udvikling. "Med moderat tillid, vi vurderer, at en af flere af de originale udviklere af Dyre er involveret i TrickBot", forskerne konkluderer.
Lighederne Trickbot deler med Dyre
Kryperen
Krypteren i TrickBot er brugerdefineret og blev tidligere fundet i Vawtrak, Pushdo og Cutwail malware. Som påpeget, Cutwail -spambotten blev indsat af operatørerne af Dyre i deres spam -kampagner.
Læssemaskinen
Læsseren minder meget om Dyres læsser, inklusive en inklusive x86 og x64 bot version og en anden sektion med navnet x64 loader.
Læsseren kontrollerer simpelthen om den kører på a 32 eller 64bit -system, inden den relevante ressourceafsnit dekodes(s).
Bot
Selvom der er mange ligheder med Dyre, TrickBot er mere en omskrevet karakter.
Denne antagelse er baseret på gammel Dyre -kode, som primært ville bruge indbyggede funktioner til at gøre ting som AES og SHA256 hashing. I de nylige prøver identificerede de sig selv som TrickBot, koden ser ud til at være baseret på den gamle kode, men omskrevet til at bruge ting som Microsoft CryptoAPI og COM.
Som allerede nævnt, TrickBot er i øjeblikket målrettet mod banker i Australien.
Da TrickBot spredes i spam -kampagner via e -mail, gennemgå disse tip for at reducere chancerne for en infektion.
Anti-Spam Beskyttelse Tips
- Ansæt anti-spam software, spamfiltre, tager sigte på at undersøge indgående e-mail. Sådan software tjener til at isolere spam fra almindelige emails. Spam filtre er designet til at identificere og opdage spam, og forhindre det i nogensinde at nå din indbakke. Sørg for at tilføje et spamfilter til din email. Gmail-brugere kan henvise til Googles side støtte.
- Svar ikke på tvivlsomme e-mails og aldrig interagere med deres indhold. Selv en "afmeld" linket i kroppen besked kan vise sig at være mistænksom. Hvis du reagerer på en sådan besked, du vil bare sende en bekræftelse af din egen e-mail-adresse til cyber skurke.
- Opret en sekundær e-mail-adresse for at bruge, når du skal registrere for en webtjeneste eller tilmeld dig for noget. Give væk din sande emailadresse på tilfældige websites er aldrig en god idé.
- Din e-mail navn skal være hårde at knække. Forskning viser, at e-mail-adresser med tal, breve og understregninger er sværere at knække og generelt får færre spam e-mails.
- Se dine e-mails i almindelig tekst, og der er en god grund til, at. Spam, der er skrevet i HTML kan have kode designet til at omdirigere dig til uønskede sider (f.eks. reklame). Også, billeder i e-mail-krop kan bruges til at 'telefon hjem "spammere, fordi de kan bruge dem til at finde aktive e-mails til fremtidige spam-kampagner. Således, visning emails i klartekst synes at være den bedste løsning. For at gøre dette, navigere til din e-mail hovedmenu, gå til Indstillinger og vælge muligheden for at læse e-mails i almindelig tekst.
- Undgå at dele din e-mail-adresse eller et link til den på websider. Spam bots og web spiders kan lokalisere e-mail adresser. Således, hvis du har brug for at forlade din e-mailadresse, gøre det, som det følger: NAVN [på] POST [punktum] com eller noget lignende. Du kan også søge efter en kontakt formular på hjemmesiden - udfylde denne form bør ikke afsløre din e-mail-adresse eller din identitet.
Og glem ikke at holde dit anti-malware-program kørende!
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter