Sikkerhed forskere afsløret en ny version, hvis den berygtede TrickBot bank trojansk hest, der er blevet brugt i udstrakt grad til at udføre infektion kampagner og kunstfærdige svindel. Den nye iteration omfatter nu en orm-lignende modul, der minder om den WannaCry ransomware.
TrickBot Banking Trojan Evolved: Ny version spreder sig på tværs af internettet
Malware forskere afslørede en ny iteration af TrickBot bank Trojan, en af de dygtigste og udbredte hacking værktøjer til at udføre komplicerede svindel og virusangreb. Det blev spottet i en live angreb i sidste uge. En af forbedringerne, der findes i den seneste udgave er en ny infektion modul, der bruger en WannaCry ransomware inspireret mekanisme. Svarende til malware det bruger SMB (Server Message Block) pakker til at infiltrere målsystemerne. De anvendes af den fil- og printerdeling service ved de fleste operativsystemer til at udveksle oplysninger.
De erhvervede versioner følge en foruddefineret adfærdsmønster som defineret af hackere ved først at inficere systemer, der anvender svagheder som defineret af de kriminelle. De nye prøver har vist sig at infiltrere via den nye udnytte og scanne det lokale netværk for domæner. Når malwaren har infiltreret det netværk, den kan finde andre computere ved hjælp af LDAP-protokollen (Lightweight Directory Access Protocol) bruges af Active Directory tjeneste. Ifølge den forskning funktionen er endnu ikke fuldt komplet og dens gennemførelse er ikke optimeret.
TrickBot er en sofistikeret malware, der er i stand til at udtrække følsomme oplysninger fra de inficerede værter. Dette omfatter kontooplysninger, lagrede formulardata fra browsere, historie, adfærdsmønstre og etc. Dataene videresendes til de hackere via en netværksforbindelse, og de kan bruge det til at udføre identitetstyveri og økonomisk bedrageri.
Den Løbende TrickBot Banking Trojan angreb
Siden juli 17 i år har der været mindst tre store spam-kampagner, der bærer Trickbot bank Trojan som den vigtigste nyttelast. Hackerne bag det bruger spam-beskeder, der indeholder ondsindede WSF filer. De er Windows Script Filer, der optræde som bliver sendt af en velkendt australske teleselskab. Filerne er placeret i arkiv beskeder og bruge forskellige domæner, der er registreret af hackere.
Alle e-mail brug misvisende navne og skabelon beskeder. Nogle eksempler kan nævnes følgende: tilfælde (Hal@sabrilex.ru), Diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) og andre. Sådanne e-mails forsøger at gøre målene downloade en ZIP-inficerede fil med IMG (billede) prefix efterfulgt af en tilfældigt genereret nummer. EKSEMPEL arkiver omfatter: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP og andre.
En tidligere angreb brugte vedhæftede PDF-filer, som indeholder inficerede Office-dokumenter. Kampagnen pågældende brugte indlejrede .xlsm regneark, der indeholder ondsindede makroer. Når de er installeret på kompromitteret system, en indbygget script er aktiveret, der henter den TrickBot bank Trojan fra et fjerntliggende sted.
Yderligere detaljer om TrickBot Banking Trojan
Den Trickbot banking trojanske indeholder to funktioner, der bruges af de nettjenester:
- MachineFinder - Dette modul viser alle tilgængelige servere om kompromitteret netværk. Dette er den første etape rekognoscering udført, når Trickbot bank Trojan har infiltreret systemet.
- NetScan - Det opregner den lokale Active Directory ved at lancere indbyggede kommandoer.
Eksperterne opdagede, at de nuværende versioner af TrickBot banking trojanske bruge en python implementering at lancere kommandoerne. Den fundet iteration er kompatibel med alle moderne versioner af Microsoft Windows-operativsystemet familie:Vinduer 2007, Vinduer 7, Vinduer 2012 og Windows 8. Et af de vigtigste mål for malware er at lancere en PowerShell instans, engang lanceret det henter en sekundær TrickBot prøve på et tilgås netværksshare under navnet “setup.exe”. Dette gør det muligt effektivt at TrickBot bank Trojan at sprede på tværs af netværket og kopiere sig selv i en WannaCry ransomware-lignende måde.
TrickBot Banking Trojan Global Impact fortsætter med at stige
Den TrickBot bank Trojan er en af de mest udbredte malware bruges til at stjæle bankoplysninger. Det har været brugt i udstrakt grad ved forskellige kriminelle kollektiver lige siden sine første iterationer steg til fremhævelse sidste år i store angreb. TrickBot henvender både mod individuelle brugere og finansielle institutioner - det blev berømt for daglige e-mails, der indeholder skadelige vedhæftede filer eller links, der fører til TrickBot forekomster. De fleste af de store angreb blev rettet mod banker i USA.
Lige siden juli i år en ny spam-kampagne har været i gang, der bruger den kraftfulde Necurs botnet til at levere malware prøver til potentielle ofre i hele verden. En af de mest påvirkede lande er Storbritannien, USA, New Zealand, Danmark, Canada og andre, Vi minder vore læsere, at dette er en af verdens største botnet, på ethvert givet tidspunkt er der omkring en million robotter (inficerede værter) der kan bruges til at lancere et massivt angreb.
Computer ofrene kan scanne deres computere for aktive infektioner og beskytte deres systemer fra indkommende angreb ved hjælp af en kvalitet anti-malware løsning.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: