CYBER NOUVELLES

TrickBot chevaux de Troie bancaires est ici pour remplacer Dyre

trojan infectés

Rencontrez TrickBot, relativement nouveau cheval de Troie bancaire croit être un proche parent de l'ancien banquier Dyre. Selon des chercheurs de Fidelis Cybersécurité, TrickBot, détectée en Septembre 2016 a beaucoup en commun avec Dyre.

Dans le cas où vous ne vous souvenez, l'opération Dyre a été arrêté en Novembre 2015 après que les autorités russes ont attaqué une société de distribution de films de Moscou. Même si il a fallu un certain temps pour les campagnes dyre pour arrêter, la fréquence du spam distribution Dyre a commencé à disparaître après l'intervention de la police russe.

en relation: Macro-Basé Bartalex Malware Spreads Poney Loader et Dyre Troie

Maintenant, il semble que TrickBot est ici pour prendre la place du banquier dévastateur. Voyons voir ce que disent les chercheurs.


TrickBot Banking Trojan: Présentation technique

En raison des similitudes abondantes, les chercheurs soupçonnent que Fidelis TrickBot est développé par la même équipe, ou les membres de l'équipe qui était derrière l'opération Dyre:

En Septembre 2016, Fidelis cybersécurité a été alerté à un nouveau malware bot qui se fait appeler TrickBot que nous pensons a un lien fort avec le cheval de Troie bancaire Dyre. De prime abord au niveau du chargeur, appelé TrickLoader, il y a des similitudes frappantes entre elle et le chargeur qui Dyre couramment utilisé. Il est pas jusqu'à ce que vous décodez le bot, cependant, que les similitudes deviennent stupéfiante.

La campagne de TrickBot analysé est basée sur webinjects qui ciblent les banques en Australie. Intéressant, le cheval de Troie bancaire est plus probable une version réécrite, pas un vieux. Alors que le bot exécute des fonctions et des activités très similaires, le style de code est un peu différent de celui du code ancien Dyre de plusieurs façons, chercheurs notent. Certaines de ces différences comprennent la façon dont les interfaces bot avec TaskScheduler par COM au lieu de l'exécution des commandes directement; le bot utilise Microsoft CryptoAPI au lieu de SHA256 en cours d'exécution ou de routine AES; plus de C ++ dans le robot par rapport à la Dyre d'origine qui a été codé en C pour la plupart.

D'autre part, les chercheurs disent que TrickLoader, le module TrickBot qui infecte la victime, est très semblables chargeur de Dyre.

Sur la base de ces observations,, il est évident qu'il existe un lien étroit entre Dyre et TrickBot. Cependant, il convient de noter que TrickBot est pas une variante copier-coller mais affiche un nouveau développement important. "Avec une confiance modérée, nous estimons que l'un ou plusieurs des développeurs originaux de Dyre est impliqué avec TrickBot", chercheurs concluent.


Les actions Similitudes Trickbot avec Dyre

Le Crypter

Le Crypter en TrickBot est coutume et a déjà été trouvé dans Vawtrak, Pushdo et Cutwail logiciels malveillants. Comme l'a souligné, l'spambot Cutwail a été déployée par les opérateurs de Dyre dans leurs campagnes de spam.

Le Loader

Le chargeur rappelle beaucoup le chargeur de Dyre, y compris un x86, y compris et la version du bot x64 et une autre section nommée x64 loader.

Le chargeur vérifie simplement si elle est en cours d'exécution sur un 32 ou d'un système 64bit avant le décodage de la section appropriée des ressources(s).

Le Bot

Même si il y a beaucoup de similitudes avec Dyre, TrickBot est plus d'un caractère réécrite.

Cette hypothèse est faite sur la base de l'ancien code Dyre, qui utilisera principalement des fonctions intégrées pour faire des choses telles que AES et SHA256 hachage. Dans les échantillons récents s'identifiant comme TrickBot, le code semble être basé sur ce vieux code, mais réécrit pour utiliser des choses telles que Microsoft CryptoAPI et COM.

Comme déjà mentionné, TrickBot cible actuellement les banques en Australie.

divulgation technique complète

Depuis TrickBot se répand dans les campagnes de spam e-mail, passer par ces conseils pour diminuer les chances d'une infection.

Anti-Spam Conseils Protection

  • Employer un logiciel anti-spam, filtres anti-spam, visant à examiner le courrier entrant. Ce logiciel sert à isoler le spam des e-mails réguliers. Les filtres de Spam sont conçus pour identifier et détecter le spam, et l'empêcher d'atteindre votre boîte de réception. Assurez-vous d'ajouter un filtre anti-spam à votre email. Les utilisateurs de Gmail peuvent se référer à soutien la page de Google.
  • Ne pas répondre aux messages électroniques douteux et ne jamais interagir avec leur contenu. Même un lien "unsubscribe" dans le corps du message peut se révéler suspecte. Si vous répondez à un tel message, il vous suffira d'envoyer une confirmation de votre propre adresse e-mail à des cyber-escrocs.
  • Créer une adresse e-mail secondaire à utiliser chaque fois que vous devez vous inscrire à un service Web ou inscrivez-vous pour quelque chose. Loin de donner votre véritable adresse e-mail sur des sites aléatoires est jamais une bonne idée.
  • Votre nom e-mail doit être difficile à craquer. La recherche indique que le courrier électronique traite avec des numéros, des lettres et des caractères de soulignement sont plus difficiles à craquer et généralement obtenir moins de spams.
  • Voir vos e-mails en texte brut, et il y a une bonne raison pour laquelle. Spam qui est écrit en HTML peut avoir un code conçu pour vous rediriger vers des pages non désirées (e.g. La publicité). Aussi, images dans le corps du message peuvent être utilisés pour les spammeurs »de téléphone à domicile, car ils peuvent les utiliser pour localiser des emails actifs pour les futures campagnes de spam. Ainsi, l'affichage des e-mails en texte clair semble être la meilleure option. Pour ce faire, accédez au menu principal de votre e-mail, allez dans Préférences et sélectionnez l'option pour lire des emails en texte brut.
  • Évitez d'afficher votre adresse e-mail ou un lien vers elle sur les pages Web. robots collecteurs de mails et les araignées Web peuvent trouver des adresses e-mail. Ainsi, si vous devez laisser votre adresse e-mail, le faire comme il suit: PRÉNOM [à] COURRIER [point] com ou quelque chose de similaire. Vous pouvez aussi chercher un formulaire de contact sur le site - remplissant ce formulaire ne devrait pas révéler votre adresse e-mail ou votre identité.

Et ne pas oublier de garder votre programme en cours d'exécution anti-malware!

Télécharger

Malware Removal Tool


Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

Milena Dimitrova

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum depuis le début. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...