Conocer TrickBot, un relativamente nuevo troyano bancario cree que es un pariente cercano del antiguo banquero Dyre. Según los investigadores de Fidelis Ciberseguridad, TrickBot, detectado en septiembre 2016 tiene mucho en común con Dyre.
En caso de que no recuerda, Dyre la operación se suspendió en noviembre 2015 después que las autoridades rusas asaltaron una distribuidora de cine de Moscú. A pesar de que tomó un tiempo para las campañas para dejar de dyre, la frecuencia de distribución de correo no deseado Dyre comenzó a desvanecerse después de la intervención de la policía rusa.
Ahora parece que TrickBot está aquí para tomar el lugar del banquero devastadora. Vamos a ver lo que dicen los investigadores.
TrickBot troyanos bancarios: Resumen técnico
Debido a las similitudes abundantes, Fidelis investigadores sospechan que TrickBot es desarrollado por el mismo equipo, o los miembros del equipo que estaba detrás de la operación Dyre:
En septiembre 2016, Fidelis ciberseguridad fue alertado de un nuevo robot de software malicioso que se hace llamar TrickBot que creemos que tiene una fuerte conexión con el troyano bancario Dyre. Desde el primer vistazo en el cargador, llamada TrickLoader, hay algunas similitudes sorprendentes entre ella y el cargador que Dyre de uso común. No es hasta que decodificar el bot, sin embargo, que las similitudes se convierten escalonamiento.
La campaña TrickBot analizada se basa en webinjects que se dirigen a los bancos en Australia. Curiosamente, el troyano bancario es más probable que una versión reescrita, no uno viejo. Mientras que el robot realiza las funciones y actividades muy similares, el estilo de código es un poco diferente que el más antiguo código de Dyre de varias maneras, investigadores señalan. Algunas de las diferencias incluyen la forma en que las interfaces de bot con TaskScheduler a través de COM en lugar de la ejecución de comandos directamente; el robot utiliza Microsoft CryptoAPI en lugar de correr o SHA256 rutina AES; más C ++ en el bot cuando se compara con la Dyre original que fue codificado en su mayoría en C.
Por otra parte, los investigadores dicen que TrickLoader, el módulo TrickBot que infecta a la víctima, Es muy parecidos cargador de Dyre.
Basándose en estas observaciones, es evidente que existe un fuerte vínculo entre Dyre y TrickBot. Sin embargo, hay que señalar que TrickBot no es una variante de copiar y pegar, pero aparece un nuevo desarrollo sustancial. "Con la confianza moderada, evaluamos que uno o más de los desarrolladores originales de Dyre está involucrado con TrickBot", investigadores concluyen.
Las acciones Similitudes Trickbot con Dyre
el Crypter
El Crypter en TrickBot es costumbre y se encontró previamente en Vawtrak, Pushdo y Cutwail el malware. Como se ha señalado, el robot de spam Cutwail fue desplegada por los operadores de Dyre en sus campañas de spam.
el cargador
El cargador recuerda mucho cargador de Dyre, incluyendo una versión que incluye x86 y x64 bot y otra sección llamada loader 64.
El cargador simplemente comprueba si se está ejecutando en una 32 o un sistema de 64 bits antes de la decodificación de la sección de recursos apropiados(s).
el Bot
A pesar de que hay muchas similitudes con Dyre, TrickBot es más de carácter reescrito.
Esta suposición se hace basado en el código de edad Dyre, que utilizaría principalmente funciones incorporadas para hacer las cosas tales como AES y hash SHA256. En las muestras recientes se identificaron como TrickBot, el código parece estar basado en el código antiguo, pero reescrito para usar cosas tales como Microsoft CryptoAPI y COM.
Como ya se ha mencionado, TrickBot está dirigido a bancos en Australia.
Desde TrickBot está siendo difundido en las campañas de spam de correo electrónico, ir a través de estos consejos para disminuir las posibilidades de una infección.
Anti-Spam Consejos de Protección
- Emplear el software anti-spam, filtros de spam, el objetivo de examinar el correo electrónico entrante. Este tipo de software sirve para aislar spam de correos electrónicos regulares. Los filtros de spam están diseñados para identificar y detectar el spam, y evitar que nunca lleguen a su bandeja de entrada. Asegúrese de añadir un filtro de correo no deseado a su correo electrónico. Los usuarios de Gmail pueden hacer referencia a La página de ayuda de Google.
- No responda a mensajes de correo electrónico dudosos y nunca interactuar con su contenido. Incluso un vínculo "darse de baja" en el cuerpo del mensaje puede llegar a ser sospechoso. Si responde a un mensaje de este tipo, usted acaba de enviar una confirmación de su propia dirección de correo electrónico para los cibercriminales.
- Crear una dirección de correo electrónico secundaria a usar siempre cuando necesite registrarse para un servicio web o registrarse para obtener algo. Regalar su dirección de correo electrónico en sitios web al azar verdadera nunca es una buena idea.
- Su nombre de correo electrónico debe ser duro de roer. La investigación indica que el correo electrónico se dirige con los números, letras y guiones bajos son más difíciles de romper y, en general recibir menos correos electrónicos no deseados.
- Ver mensajes de correo electrónico en texto sin formato, y hay una buena razón por la cual. Spam que está escrito en HTML puede tener un código diseñado para redirigir a páginas no deseadas (por ejemplo. publicidad). También, imágenes dentro del cuerpo del correo electrónico se pueden utilizar para los spammers '' teléfono de casa, ya que pueden utilizarlos para localizar correos electrónicos activos para futuras campañas de spam. Por lo tanto, la visualización de mensajes de correo electrónico en texto sin formato parece ser la mejor opción. Para ello, navegue hasta el menú principal del correo electrónico, vaya a Preferencias y seleccione la opción de leer mensajes de correo electrónico en texto sin formato.
- Evita publicar su dirección de correo electrónico o un enlace a ella en las páginas web. los robots de spam y arañas web pueden localizar las direcciones de correo electrónico. Por lo tanto, si usted necesita dejar su dirección de correo electrónico, hacerlo, ya que sigue: NOMBRE [en] CORREO [punto] com o algo similar. También puede buscar un formulario de contacto en el sitio web - rellenar dicho formulario no debe revelar su dirección de correo electrónico o su identidad.
Y no se olvide de mantener su programa en ejecución anti-malware!
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter