Rencontrez TrickBot, relativement nouveau cheval de Troie bancaire croit être un proche parent de l'ancien banquier Dyre. Selon des chercheurs de Fidelis Cybersécurité, TrickBot, détectée en Septembre 2016 a beaucoup en commun avec Dyre.
Dans le cas où vous ne vous souvenez, l'opération Dyre a été arrêté en Novembre 2015 après que les autorités russes ont attaqué une société de distribution de films de Moscou. Même si il a fallu un certain temps pour les campagnes dyre pour arrêter, la fréquence du spam distribution Dyre a commencé à disparaître après l'intervention de la police russe.
Maintenant, il semble que TrickBot est ici pour prendre la place du banquier dévastateur. Voyons voir ce que disent les chercheurs.
TrickBot Banking Trojan: Présentation technique
En raison des similitudes abondantes, les chercheurs soupçonnent que Fidelis TrickBot est développé par la même équipe, ou les membres de l'équipe qui était derrière l'opération Dyre:
En Septembre 2016, Fidelis cybersécurité a été alerté à un nouveau malware bot qui se fait appeler TrickBot que nous pensons a un lien fort avec le cheval de Troie bancaire Dyre. De prime abord au niveau du chargeur, appelé TrickLoader, il y a des similitudes frappantes entre elle et le chargeur qui Dyre couramment utilisé. Il est pas jusqu'à ce que vous décodez le bot, cependant, que les similitudes deviennent stupéfiante.
La campagne de TrickBot analysé est basée sur webinjects qui ciblent les banques en Australie. Intéressant, le cheval de Troie bancaire est plus probable une version réécrite, pas un vieux. Alors que le bot exécute des fonctions et des activités très similaires, le style de code est un peu différent de celui du code ancien Dyre de plusieurs façons, chercheurs notent. Certaines de ces différences comprennent la façon dont les interfaces bot avec TaskScheduler par COM au lieu de l'exécution des commandes directement; le bot utilise Microsoft CryptoAPI au lieu de SHA256 en cours d'exécution ou de routine AES; plus de C ++ dans le robot par rapport à la Dyre d'origine qui a été codé en C pour la plupart.
D'autre part, les chercheurs disent que TrickLoader, le module TrickBot qui infecte la victime, est très semblables chargeur de Dyre.
Sur la base de ces observations,, il est évident qu'il existe un lien étroit entre Dyre et TrickBot. Cependant, il convient de noter que TrickBot est pas une variante copier-coller mais affiche un nouveau développement important. "Avec une confiance modérée, nous estimons que l'un ou plusieurs des développeurs originaux de Dyre est impliqué avec TrickBot", chercheurs concluent.
Les actions Similitudes Trickbot avec Dyre
Le Crypter
Le Crypter en TrickBot est coutume et a déjà été trouvé dans Vawtrak, Pushdo et Cutwail logiciels malveillants. Comme l'a souligné, l'spambot Cutwail a été déployée par les opérateurs de Dyre dans leurs campagnes de spam.
Le Loader
Le chargeur rappelle beaucoup le chargeur de Dyre, y compris un x86, y compris et la version du bot x64 et une autre section nommée x64 loader.
Le chargeur vérifie simplement si elle est en cours d'exécution sur un 32 ou d'un système 64bit avant le décodage de la section appropriée des ressources(s).
Le Bot
Même si il y a beaucoup de similitudes avec Dyre, TrickBot est plus d'un caractère réécrite.
Cette hypothèse est faite sur la base de l'ancien code Dyre, qui utilisera principalement des fonctions intégrées pour faire des choses telles que AES et SHA256 hachage. Dans les échantillons récents s'identifiant comme TrickBot, le code semble être basé sur ce vieux code, mais réécrit pour utiliser des choses telles que Microsoft CryptoAPI et COM.
Comme déjà mentionné, TrickBot cible actuellement les banques en Australie.
divulgation technique complète
Depuis TrickBot se répand dans les campagnes de spam e-mail, passer par ces conseils pour diminuer les chances d'une infection.
Anti-Spam Conseils Protection
- Employer un logiciel anti-spam, filtres anti-spam, visant à examiner le courrier entrant. Ce logiciel sert à isoler le spam des e-mails réguliers. Les filtres de Spam sont conçus pour identifier et détecter le spam, et l'empêcher d'atteindre votre boîte de réception. Assurez-vous d'ajouter un filtre anti-spam à votre email. Les utilisateurs de Gmail peuvent se référer à soutien la page de Google.
- Ne pas répondre aux messages électroniques douteux et ne jamais interagir avec leur contenu. Même un lien "unsubscribe" dans le corps du message peut se révéler suspecte. Si vous répondez à un tel message, il vous suffira d'envoyer une confirmation de votre propre adresse e-mail à des cyber-escrocs.
- Créer une adresse e-mail secondaire à utiliser chaque fois que vous devez vous inscrire à un service Web ou inscrivez-vous pour quelque chose. Loin de donner votre véritable adresse e-mail sur des sites aléatoires est jamais une bonne idée.
- Votre nom e-mail doit être difficile à craquer. La recherche indique que le courrier électronique traite avec des numéros, des lettres et des caractères de soulignement sont plus difficiles à craquer et généralement obtenir moins de spams.
- Voir vos e-mails en texte brut, et il y a une bonne raison pour laquelle. Spam qui est écrit en HTML peut avoir un code conçu pour vous rediriger vers des pages non désirées (e.g. La publicité). Aussi, images dans le corps du message peuvent être utilisés pour les spammeurs »de téléphone à domicile, car ils peuvent les utiliser pour localiser des emails actifs pour les futures campagnes de spam. Ainsi, l'affichage des e-mails en texte clair semble être la meilleure option. Pour ce faire, accédez au menu principal de votre e-mail, allez dans Préférences et sélectionnez l'option pour lire des emails en texte brut.
- Évitez d'afficher votre adresse e-mail ou un lien vers elle sur les pages Web. robots collecteurs de mails et les araignées Web peuvent trouver des adresses e-mail. Ainsi, si vous devez laisser votre adresse e-mail, le faire comme il suit: PRÉNOM [à] COURRIER [point] com ou quelque chose de similaire. Vous pouvez aussi chercher un formulaire de contact sur le site - remplissant ce formulaire ne devrait pas révéler votre adresse e-mail ou votre identité.
Et ne pas oublier de garder votre programme en cours d'exécution anti-malware!
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter