Los investigadores de seguridad descubrieron una nueva versión si el troyano bancario infame TrickBot que se ha utilizado ampliamente para llevar a cabo campañas de infección y estafas elaboradas. La nueva iteración ahora incluye un módulo similar a un gusano que es una reminiscencia del ransomware WannaCry.
TrickBot troyanos bancarios Evolved: La nueva versión se propaga a través de Internet
investigadores de malware revelaron una nueva iteración del troyano bancario TrickBot, una de las herramientas de hacking más capaces y ampliamente utilizada para realizar estafas elaboradas y ataques de virus. Fue descubierto en un ataque en directo la semana pasada. Una de las mejoras que se encuentran en la versión más reciente es un nuevo módulo de infección que utiliza un mecanismo de WannaCry ransomware inspirado. Al igual que en el malware que utiliza SMB (Bloque de mensajes del servidor) paquetes para infiltrarse en los sistemas de destino. Son utilizados por el servicio de compartir archivos e impresoras por la mayoría de los sistemas operativos para intercambiar información.
Las versiones adquiridas siguen un patrón de comportamiento predefinido tal como se define por los hackers por primera infectar los sistemas que utilizan vulnerabilidades como se define por los criminales. Las nuevas muestras se han encontrado para infiltrarse a través de la nueva explotar y explorar la red local para dominios. Una vez que el malware se ha infiltrado en la red se puede encontrar otras computadoras utilizando el protocolo LDAP (Lightweight Directory Access Protocol) utilizado por el servicio de Active Directory. De acuerdo con la investigación de la función aún no está totalmente completa y su aplicación no está optimizado.
TrickBot es un malware sofisticado que es capaz de extraer información sensible de los huéspedes infectados. Esto incluye credenciales de la cuenta, datos de formularios almacenados en los navegadores, historia, patrones de comportamiento y etc.. Los datos se retransmite a los piratas informáticos a través de una conexión de red y se puede utilizar para llevar a cabo el robo de identidad y fraude financiero.
El curso TrickBot troyanos bancarios Ataque
Desde julio 17 este año se han registrado al menos tres campañas de spam a gran escala que llevan el troyano bancario Trickbot como la carga útil principal. Los piratas informáticos detrás de él utilizar mensajes de spam que incluyen archivos WSF maliciosos. Ellos son la escritura de Windows Los archivos que se hacen pasar por ser enviado por una conocida empresa de telecomunicaciones de Australia. Los archivos se colocan en archivar los mensajes y el uso de diferentes dominios que están registrados por los piratas informáticos.
Todo el uso emails falsos nombres y mensajes de plantilla. Algunos ejemplos incluyen los siguientes: caso (Hal@sabrilex.ru), diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) y otros. Tales correos electrónicos intentan hacer que los objetivos de descargar un archivo zip-infectados con el IMG (imagen) prefijo seguido por un número generado al azar. Ejemplo archivos incluyen: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP y otros.
Un ataque anterior utiliza archivos adjuntos PDF que contiene los documentos de Office infectados. La campaña en cuestión utiliza hojas de cálculo que contienen macros incrustadas .xlsm maliciosos. Una vez que se instalan en el sistema comprometido, un guión incorporado se activa que descarga el troyano bancario TrickBot desde una ubicación remota.
Más detalles sobre la TrickBot troyanos bancarios
El troyano bancario Trickbot incluye dos funciones que son utilizados por los servicios de red:
- MachineFinder - Este módulo se enumeran todos los servidores disponibles en la red comprometida. Este es el primer reconocimiento etapa realizado una vez que el troyano bancario Trickbot se ha infiltrado en el sistema de.
- netscan - Se enumera el directorio local activa mediante el lanzamiento de comandos internos.
Los expertos descubrieron que las versiones actuales del troyano bancario TrickBot utilizan una aplicación Python para lanzar los comandos. La iteración encontrado es compatible con todas las versiones modernas de la familia sistema operativo Microsoft Windows:Ventanas 2007, Ventanas 7, Ventanas 2012 y Windows 8. Uno de los principales objetivos de malware es poner en marcha una instancia de PowerShell, Una vez lanzado se descarga una muestra TrickBot secundaria en un recurso compartido de red visitada bajo el nombre “setup.exe”. Esto permite efectivamente la banca TrickBot de Troya para difundir a través de la red y copiarse a sí mismo en un WannaCry manera similar a ransomware.
TrickBot troyanos bancarios impacto global sigue en aumento
El troyano bancario TrickBot es uno de los programas maliciosos más utilizado utiliza para obtener datos bancarios. Se ha utilizado ampliamente por diversos colectivos criminales desde sus primeras iteraciones saltó a la fama el año pasado en ataques a gran escala. TrickBot está dirigido tanto contra los usuarios individuales y las instituciones financieras - se hizo famoso por mensajes de correo electrónico que contienen archivos adjuntos maliciosos diarias o hiperenlaces que conducen a casos TrickBot. La mayoría de los grandes ataques fueron dirigidos contra los bancos ubicados en los EE.UU..
Desde julio de este año una nueva campaña de spam ha estado en curso que utiliza la poderosa red de bots Necurs para entregar las muestras de malware a las víctimas potenciales en todo el mundo. Uno de los países más afectados son el Reino Unido, EE.UU., Nueva Zelanda, Dinamarca, Canadá y otros, Recordamos a nuestros lectores que esta es una de las botnets más grandes del mundo, en un momento dado hay cerca de un millón de robots (los huéspedes infectados) que se puede utilizar para lanzar un ataque masivo.
víctimas de la computadora pueden escanear sus computadoras para las infecciones activas y proteger sus sistemas contra ataques entrantes mediante el uso de una solución anti-malware calidad.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter