Sicherheitsforscher entdeckt eine neue Version, wenn der berüchtigte TrickBot Banking-Trojaner, die ausgiebig Kampagnen und aufwendige Betrügereien durchzuführen Infektion verwendet wurde,. Die neue Iteration enthält nun einen wurmartigen Modul, das von der WannaCry Ransomware erinnert.
TrickBot Banking Trojan Evolved: Neue Version breitet sich über das Internet
Malware-Forscher ergab eine neue Iteration des TrickBot Banking-Trojaner, einer der fähigsten und am weitesten verbreiteten Hacking-Tool aufwendigen Betrug und Viren-Attacken auszuführen. Es wurde in einem Live-Angriff letzte Woche entdeckt. Einer der in der neuesten Version gefunden Verbesserungen ist eine neue Infektion Modul, das einen WannaCry Ransomware inspiriert Mechanismus verwendet. Ähnlich wie bei der Malware verwendet es SMB (Server Message Block) Pakete, die die Zielsysteme zu infiltrieren. Sie werden durch den Datei- und Druckerfreigabe-Dienst von den meisten Betriebssystemen verwendet, um Informationen auszutauschen.
Die erworbenen Versionen folgen einem vorgegebenen Muster Verhalten als erste von den Hackern, die durch die Systeme zu infizieren Schwachstellen unter Verwendung als von den Kriminellen definiert. Die neuen Proben wurden über die neuen infiltrieren gefunden das lokale Netzwerk nach Domänen nutzen und scannen. Sobald die Malware das Netzwerk infiltriert hat, kann es andere Computer finden Sie das LDAP-Protokoll (Lightweight Directory Access Protocol) durch den Active Directory-Dienst verwendet. Laut der Forschung ist die Funktion noch nicht vollständig abgeschlossen und deren Umsetzung nicht optimiert ist.
TrickBot ist eine hoch entwickelte Malware, die Lage ist, vertrauliche Informationen aus den infizierten Rechner zu extrahieren. Dazu gehören Kontodaten, gespeicherten Formulardaten aus den Browsern, Geschichte, Verhaltensmuster und etc. Die Daten werden über eine Netzwerkverbindung zu dem Hacker weitergeleitet und sie können es verwenden, um Identitätsdiebstahl und Finanzbetrug durchführen.
Die Laufende TrickBot Banking Trojan Angriff
seit Juli 17 in diesem Jahr gibt es mindestens drei groß angelegte Spam-Kampagnen gegeben, die den Trickbot Banking-Trojaner als Hauptnutzlast tragen. Der Hacker hinter Spam-Nachrichten verwenden, die bösartigen WSF-Dateien enthalten. Sie sind Windows Script-Dateien, die darstellen, wie durch ein bekanntes australisches Telekommunikationsunternehmen gesendet werden. Die Dateien werden im Archiv Nachrichten platziert und verwenden unterschiedliche Domänen, die von den Hackern registriert sind.
Alle E-Mail-Nutzung spoofed Namen und Template-Nachrichten. Einige Beispiele hierfür sind die folgenden: Fall (Hal@sabrilex.ru), Diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) und andere. Solche E-Mails versuchen, die Ziele einer ZIP-infizierte Datei mit dem IMG herunterladen zu machen (Bild) Präfix gefolgt von einer zufällig erzeugten Zahl. Beispiel Archive umfassen: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP und andere.
Ein früherer Angriff verwendete PDF-Anhänge infizierten Office-Dokumente enthielt,. Die Kampagne in Frage eingebettet XLSM Tabellen enthalten, verwendete bösartigen Makros. Sobald sie auf dem kompromittierten System installiert sind, eine integrierte Skript aktiviert, das den TrickBot Banking-Trojaner von einem entfernten Standort herunterlädt.
Weitere Details zu dem TrickBot Banking Trojan
Der Trickbot Banking-Trojaner enthält zwei Funktionen, die von den Netzwerkdienste verwendet werden,:
- Machine - Dieses Modul listet alle verfügbaren Server auf dem angegriffenen Netzwerk. Dies ist die erste Stufe Aufklärung einmal die Trickbot Banking-Trojaner ausgeführt hat das System infiltriert.
- Netscan - Er zählt die lokale Active Directory von integrierten Befehlen starten.
Die Experten entdeckten, dass die aktuellen Versionen des TrickBot Banking-Trojaners eine Python-Implementierung verwenden, um die Befehle zu starten. Die gefundene Iteration ist kompatibel mit allen modernen Versionen der Microsoft Windows-Betriebssystemfamilie:Fenster 2007, Fenster 7, Fenster 2012 und Windows 8. Eines der wichtigsten Ziele von Malware ist eine Powershell-Instanz gestartet werden soll, einmal gestartet lädt es eine sekundäre TrickBot Probe auf einen Zugriff auf Netzwerkfreigabe unter dem Namen “setup.exe”. Dies ermöglicht effektiv die TrickBot Banking-Trojaner über das Netzwerk zu verbreiten und kopiert sich in einem WannaCry Ransomware artig.
TrickBot Banking Trojan Global Impact steigt weiter
Der TrickBot Banking-Trojaner ist eine der am weitesten verbreiteten Malware verwendet Bankdaten zu stehlen. Es wurde ausgiebig von verschiedenen kriminellen Kollektive seit seiner ersten Iterationen stieg auf Prominenz im vergangenen Jahr in Großangriffe verwendet. TrickBot richtet sich sowohl gegen einzelne Benutzer und Finanzinstitute - es wurde berühmt für den täglichen E-Mails schädliche Anhänge oder Hyperlinks enthalten, die zu TrickBot Instanzen führen. Die meisten der großen Angriffe gegen Banken in den USA befindet sich gerichtet.
Seit Juli dieses Jahres eine neue Spam-Kampagne hat sich fortwährend gewesen, dass die mächtige Necurs Botnet nutzt die Malware-Samples, um potenzielle Opfer auf der ganzen Welt zu liefern. Eines der am meisten betroffenen Länder sind Großbritannien, USA, Neuseeland, Dänemark, Kanada und andere, Wir erinnern unsere Leser, dass dies eine der größten Botnets der Welt, zu einem bestimmten Zeitpunkt gibt es etwa eine Million Bots (infizierten Wirten) das kann verwendet werden, um einen massiven Angriff zu starten.
Computer Opfer können ihre Computer für aktive Infektionen scannen und ihre Systeme vor Angriffen schützen, indem sie eine hochwertige Anti-Malware-Lösung.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: