Accueil > Nouvelles Cyber > TrickBot Banking Trojan est là pour remplacer Dyre
CYBER NOUVELLES

TrickBot chevaux de Troie bancaires est ici pour remplacer Dyre

par   |  Dernière mise à jour:  |  0 Commentaires  

trojan infectés

Rencontrez TrickBot, relativement nouveau cheval de Troie bancaire croit être un proche parent de l'ancien banquier Dyre. Selon des chercheurs de Fidelis Cybersécurité, TrickBot, détectée en Septembre 2016 a beaucoup en commun avec Dyre.

Dans le cas où vous ne vous souvenez, l'opération Dyre a été arrêté en Novembre 2015 après que les autorités russes ont attaqué une société de distribution de films de Moscou. Même si il a fallu un certain temps pour les campagnes dyre pour arrêter, la fréquence du spam distribution Dyre a commencé à disparaître après l'intervention de la police russe.

en relation: Macro-Basé Bartalex Malware Spreads Poney Loader et Dyre Troie

Maintenant, il semble que TrickBot est ici pour prendre la place du banquier dévastateur. Voyons voir ce que disent les chercheurs.

TrickBot Banking Trojan: Présentation technique

En raison des similitudes abondantes, les chercheurs soupçonnent que Fidelis TrickBot est développé par la même équipe, ou les membres de l'équipe qui était derrière l'opération Dyre:

En Septembre 2016, Fidelis cybersécurité a été alerté à un nouveau malware bot qui se fait appeler TrickBot que nous pensons a un lien fort avec le cheval de Troie bancaire Dyre. De prime abord au niveau du chargeur, appelé TrickLoader, il y a des similitudes frappantes entre elle et le chargeur qui Dyre couramment utilisé. Il est pas jusqu'à ce que vous décodez le bot, cependant, que les similitudes deviennent stupéfiante.

La campagne de TrickBot analysé est basée sur webinjects qui ciblent les banques en Australie. Intéressant, le cheval de Troie bancaire est plus probable une version réécrite, pas un vieux. Alors que le bot exécute des fonctions et des activités très similaires, le style de code est un peu différent de celui du code ancien Dyre de plusieurs façons, chercheurs notent. Certaines de ces différences comprennent la façon dont les interfaces bot avec TaskScheduler par COM au lieu de l'exécution des commandes directement; le bot utilise Microsoft CryptoAPI au lieu de SHA256 en cours d'exécution ou de routine AES; plus de C ++ dans le robot par rapport à la Dyre d'origine qui a été codé en C pour la plupart.

D'autre part, les chercheurs disent que TrickLoader, le module TrickBot qui infecte la victime, est très semblables chargeur de Dyre.

Sur la base de ces observations,, il est évident qu'il existe un lien étroit entre Dyre et TrickBot. Cependant, il convient de noter que TrickBot est pas une variante copier-coller mais affiche un nouveau développement important. "Avec une confiance modérée, nous estimons que l'un ou plusieurs des développeurs originaux de Dyre est impliqué avec TrickBot", chercheurs concluent.

Les actions Similitudes Trickbot avec Dyre

Le Crypter

Le Crypter en TrickBot est coutume et a déjà été trouvé dans Vawtrak, Pushdo et Cutwail logiciels malveillants. Comme l'a souligné, l'spambot Cutwail a été déployée par les opérateurs de Dyre dans leurs campagnes de spam.

Le Loader

Le chargeur rappelle beaucoup le chargeur de Dyre, y compris un x86, y compris et la version du bot x64 et une autre section nommée x64 loader.

Le chargeur vérifie simplement si elle est en cours d'exécution sur un 32 ou d'un système 64bit avant le décodage de la section appropriée des ressources(s).

Le Bot

Même si il y a beaucoup de similitudes avec Dyre, TrickBot est plus d'un caractère réécrite.

Cette hypothèse est faite sur la base de l'ancien code Dyre, qui utilisera principalement des fonctions intégrées pour faire des choses telles que AES et SHA256 hachage. Dans les échantillons récents s'identifiant comme TrickBot, le code semble être basé sur ce vieux code, mais réécrit pour utiliser des choses telles que Microsoft CryptoAPI et COM.

Comme déjà mentionné, TrickBot cible actuellement les banques en Australie.

divulgation technique complète

Depuis TrickBot se répand dans les campagnes de spam e-mail, passer par ces conseils pour diminuer les chances d'une infection.

Anti-Spam Conseils Protection

  • Employer un logiciel anti-spam, filtres anti-spam, visant à examiner le courrier entrant. Ce logiciel sert à isoler le spam des e-mails réguliers. Les filtres de Spam sont conçus pour identifier et détecter le spam, et l'empêcher d'atteindre votre boîte de réception. Assurez-vous d'ajouter un filtre anti-spam à votre email. Les utilisateurs de Gmail peuvent se référer à soutien la page de Google.
  • Ne pas répondre aux messages électroniques douteux et ne jamais interagir avec leur contenu. Même un lien "unsubscribe" dans le corps du message peut se révéler suspecte. Si vous répondez à un tel message, il vous suffira d'envoyer une confirmation de votre propre adresse e-mail à des cyber-escrocs.
  • Créer une adresse e-mail secondaire à utiliser chaque fois que vous devez vous inscrire à un service Web ou inscrivez-vous pour quelque chose. Loin de donner votre véritable adresse e-mail sur des sites aléatoires est jamais une bonne idée.
  • Votre nom e-mail doit être difficile à craquer. La recherche indique que le courrier électronique traite avec des numéros, des lettres et des caractères de soulignement sont plus difficiles à craquer et généralement obtenir moins de spams.
  • Voir vos e-mails en texte brut, et il y a une bonne raison pour laquelle. Spam qui est écrit en HTML peut avoir un code conçu pour vous rediriger vers des pages non désirées (e.g. La publicité). Aussi, images dans le corps du message peuvent être utilisés pour les spammeurs »de téléphone à domicile, car ils peuvent les utiliser pour localiser des emails actifs pour les futures campagnes de spam. Ainsi, l'affichage des e-mails en texte clair semble être la meilleure option. Pour ce faire, accédez au menu principal de votre e-mail, allez dans Préférences et sélectionnez l'option pour lire des emails en texte brut.
  • Évitez d'afficher votre adresse e-mail ou un lien vers elle sur les pages Web. robots collecteurs de mails et les araignées Web peuvent trouver des adresses e-mail. Ainsi, si vous devez laisser votre adresse e-mail, le faire comme il suit: PRÉNOM [à] COURRIER [point] com ou quelque chose de similaire. Vous pouvez aussi chercher un formulaire de contact sur le site - remplissant ce formulaire ne devrait pas révéler votre adresse e-mail ou votre identité.

Et ne pas oublier de garder votre programme en cours d'exécution anti-malware!

Télécharger

Malware Removal Tool


Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Mise à jour TrickBot bancaires cheval de Troie: WannaCry-Inspired Module maintenant actif Les chercheurs en sécurité ont découvert une nouvelle version si le tristement célèbre TrickBot...
  2. Macro-Basé Bartalex Malware Spreads Poney Loader et Dyre Troie Plus tôt cette année - en mars - un malware basé sur des macros...
  3. Nouveau Dyre chevaux de Troie bancaires profiter de la vulnérabilité d'Adobe Reader L'équipe de préparation informatique américain urgence (TRUE) has issued a...
  4. Dyre Malware met l'accent sur de vérification des pouvoirs de Salesforce Animal, aussi connu comme Dyreza et Dyranges par Symantec, est...
  5. Trickbot Banque cheval de Troie Août 2018 Mise à jour avec injection de code furtif Le cheval de Troie bancaire Trickbot a reçu Août 2018 mettre à jour...
  6. Nouveau Windows 10 CCU Bypass utilisés par TrickBot à exécuter avec des privilèges d'administrateur Les opérateurs de TrickBot Trojan ont une fois de plus mis à jour son...
  7. Animal, Dridex Schéma de blanchiment d'argent termine avec 14 arrestations Suivez l'argent – that’s basically the one rule you...
  8. TrickBot cheval de Troie une variante plus récente résiliente désactiver Windows Defender TrickBot is a banking Trojan that has been around since...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord