TrickBot Banking Trojan er her for Erstat Dyre - Hvordan, Teknologi og pc-sikkerhed Forum | SensorsTechForum.com
TRUSSEL FJERNELSE

TrickBot Banking Trojan er her for Erstat Dyre

trojan-inficerede

Mød TrickBot, en relativt ny bank Trojan menes at være en nær slægtning til den gamle Dyre bankmand. Ifølge forskere ved Fidelis cybersikkerhed, TrickBot, detekteres i september 2016 har en masse til fælles med Dyre.

In case you don’t remember, the Dyre operation was discontinued in November 2015 after Russian authorities raided a Moscow film distribution company. Even though it took some time for Dyre campaigns to stop, the frequency of spam distributing Dyre started to fade away after the intervention of the Russian police.

Relaterede: Makro-Based Bartalex Malware spreder Pony Loader og Dyre Trojan

Now it appears that TrickBot is here to take the place of the devastating banker. Let’s see what the researchers say.


TrickBot Banking Trojan: Teknisk oversigt

Because of the plentiful similarities, Fidelis researchers suspect that TrickBot is developed by the same team, or members of the team that was behind the Dyre operation:

I september 2016, Fidelis Cybersecurity was alerted to a new malware bot calling itself TrickBot that we believe has a strong connection to the Dyre banking trojan. From first glance at the loader, called TrickLoader, there are some striking similarities between it and the loader that Dyre commonly used. It isn’t until you decode out the bot, dog, that the similarities become staggering.

The analyzed TrickBot campaign is based on webinjects that target banks in Australia. Interessant, the banking Trojan is more likely a rewritten version, not an old one. While the bot performs very similar functions and activities, the code style is quite a bit different than the older Dyre code in several ways, forskere note. Some of the differences include the way the bot interfaces with TaskScheduler through COM instead of running commands directly; the bot uses Microsoft CryptoAPI instead of running SHA256 or AES routine; more C++ in the bot when compared to the original Dyre which was mostly coded in C.

På den anden side, researchers say that TrickLoader, the TrickBot module that infects the victim, is very much alike Dyre’s loader.

Based on these observations, it’s evident that there is a strong link between Dyre and TrickBot. Men, it should be noted that TrickBot is not a copy-paste variant but instead displays a substantial new development. "With moderate confidence, we assess that one of more of the original developers of Dyre is involved with TrickBot", forskerne konkluderer.


The Similarities Trickbot shares with Dyre

The Crypter

The crypter in TrickBot is custom and was previously found in Vawtrak, Pushdo and Cutwail malware. As pointed out, the Cutwail spambot was deployed by the operators of Dyre in their spam campaigns.

The Loader

The loader reminds a lot of Dyre’s loader, including a including x86 and x64 bot version and another section named x64 loader.

The loader simply checks if it is running on a 32 or 64bit system before decoding the appropriate resource section(s).

The Bot

Even though there are many similarities with Dyre, TrickBot is more of a rewritten character.

This assumption is made based on old Dyre code, which would primarily use built-in functions for doing things such as AES and SHA256 hashing. In the recent samples identifying themselves as TrickBot, the code appears to be based on that old code but rewritten to use things such as Microsoft CryptoAPI and COM.

Som allerede nævnt, TrickBot is currently targeting banks in Australia.

Full technical disclosure

Since TrickBot is being spread in email spam campaigns, go through these tips to decrease the chances of an infection.

Anti-Spam Beskyttelse Tips

  • Ansæt anti-spam software, spamfiltre, tager sigte på at undersøge indgående e-mail. Sådan software tjener til at isolere spam fra almindelige emails. Spam filtre er designet til at identificere og opdage spam, og forhindre det i nogensinde at nå din indbakke. Sørg for at tilføje et spamfilter til din email. Gmail-brugere kan henvise til Googles side støtte.
  • Svar ikke på tvivlsomme e-mails og aldrig interagere med deres indhold. Selv en "afmeld" linket i kroppen besked kan vise sig at være mistænksom. Hvis du reagerer på en sådan besked, du vil bare sende en bekræftelse af din egen e-mail-adresse til cyber skurke.
  • Opret en sekundær e-mail-adresse for at bruge, når du skal registrere for en webtjeneste eller tilmeld dig for noget. Give væk din sande emailadresse på tilfældige websites er aldrig en god idé.
  • Din e-mail navn skal være hårde at knække. Forskning viser, at e-mail-adresser med tal, breve og understregninger er sværere at knække og generelt får færre spam e-mails.
  • Se dine e-mails i almindelig tekst, og der er en god grund til, at. Spam, der er skrevet i HTML kan have kode designet til at omdirigere dig til uønskede sider (f.eks. reklame). Også, billeder i e-mail-krop kan bruges til at 'telefon hjem "spammere, fordi de kan bruge dem til at finde aktive e-mails til fremtidige spam-kampagner. Således, visning emails i klartekst synes at være den bedste løsning. For at gøre dette, navigere til din e-mail hovedmenu, gå til Indstillinger og vælge muligheden for at læse e-mails i almindelig tekst.
  • Undgå at dele din e-mail-adresse eller et link til den på websider. Spam bots og web spiders kan lokalisere e-mail adresser. Således, hvis du har brug for at forlade din e-mailadresse, gøre det, som det følger: NAVN [på] POST [punktum] com eller noget lignende. Du kan også søge efter en kontakt formular på hjemmesiden - udfylde denne form bør ikke afsløre din e-mail-adresse eller din identitet.

And don’t forget to keep your anti-malware program running!

Hent

Værktøj til fjernelse af malware


Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler!

Flere indlæg

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...