Les chercheurs en sécurité ont découvert une nouvelle version si le cheval de Troie bancaire TrickBot infâme qui a été largement utilisé pour mener des campagnes d'infection et les escroqueries élaborées. La nouvelle itération comprend maintenant un module de type ver qui rappelle la ransomware WannaCry.
TrickBot Banque cheval de Troie Evolved: La nouvelle version se propage à travers l'Internet
les chercheurs de logiciels malveillants ont révélé une nouvelle itération de la banque de TrickBot cheval de Troie, l'un des outils les plus capables de hacking et largement utilisé pour effectuer des escroqueries élaborées et les attaques de virus. Il a été repéré lors d'une attaque en direct la semaine dernière. L'une des améliorations trouvées dans la dernière version est un nouveau module d'infection qui utilise un mécanisme inspiré de ransomware WannaCry. Similaire au malware, il utilise le protocole SMB (Server Message Block) paquets pour infiltrer les systèmes cibles. Ils sont utilisés par le fichier et le service de partage de l'imprimante par la plupart des systèmes d'exploitation pour échanger des informations.
Les versions acquises suivent un modèle de comportement prédéfini tel que défini par les pirates de premier infecter les systèmes utilisant des vulnérabilités tel que défini par les criminels. Les nouveaux échantillons ont été trouvés pour infiltrer via le nouvel exploit et analyser le réseau local pour les domaines. Une fois le logiciel malveillant a infiltré le réseau, il peut trouver d'autres ordinateurs en utilisant le protocole LDAP (Protocole d'Lightweight Directory Access) utilisé par le service Active Directory. Selon la recherche, la fonction n'est pas encore tout à fait complet et sa mise en œuvre n'est pas optimisé.
TrickBot est un malware sophistiqué qui est capable d'extraire des informations sensibles des hôtes infectés. Cela inclut des informations d'identification de compte, les données de formulaire stockées à partir des navigateurs, histoire, modèles de comportement et etc.. Les données sont relayées aux pirates via une connexion réseau et ils peuvent l'utiliser pour effectuer le vol d'identité et la fraude financière.
Le TrickBot continue cheval de Troie bancaire attaque
depuis Juillet 17 cette année il y a eu au moins trois campagnes de spam à grande échelle qui portent la banque de Trickbot cheval de Troie comme la charge utile principale. Les pirates utilisent derrière les messages de spam qui incluent des fichiers malveillants du FSM. Ils sont Windows fichiers de script qui pose comme étant envoyé par une société de télécommunications australienne bien connue. Les fichiers sont placés dans des messages archiver et utiliser différents domaines qui sont enregistrés par les pirates.
Tous l'utilisation e-mail usurpée noms et messages de modèle. Quelques exemples sont les suivants: cas (Hal@sabrilex.ru), Diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) et d'autres. Ces e-mails tentent de faire les cibles télécharger un fichier infecté ZIP avec l'IMG (image) préfixe suivi d'un nombre généré de façon aléatoire. archives comprennent par exemple: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP et d'autres.
Une attaque précédente utilisé des pièces jointes PDF contenant des documents Office infectés. La campagne en question utilise des feuilles de calcul de .xlsm intégrés contenant des macros malveillants. Une fois qu'ils sont installés sur le système compromis, un script intégré est activé qui télécharge la banque de TrickBot cheval de Troie à distance.
D'autres détails sur les Services bancaires TrickBot cheval de Troie
Le cheval de Troie bancaire Trickbot comprend deux fonctions qui sont utilisées par les services de réseau:
- MachineFinder - Ce module répertorie tous les serveurs disponibles sur le réseau compromis. C'est la première reconnaissance de scène effectué une fois le cheval de Troie bancaire Trickbot est infiltrée dans le système.
- Netscan - Il énumère le répertoire local actif en lançant des commandes intégrées.
Les experts ont découvert que les versions actuelles de la banque TrickBot cheval de Troie utilisent une implémentation de Python pour lancer les commandes. L'itération trouvée est compatible avec toutes les versions modernes de la famille du système d'exploitation Microsoft Windows:Fenêtres 2007, Fenêtres 7, Fenêtres 2012 et Windows 8. L'un des principaux objectifs de programmes malveillants est de lancer une instance PowerShell, une fois lancé, il télécharge un échantillon de TrickBot secondaire sur un partage réseau accessible sous le nom “setup.exe”. Cela permet effectivement la banque de TrickBot cheval de Troie de se propager à travers le réseau et se copie dans une WannaCry façon ransomware comme.
TrickBot bancaire cheval de Troie Impact Global continue d'augmenter
Le cheval de Troie bancaire TrickBot est l'un des logiciels malveillants les plus largement utilisés pour voler des informations d'identification bancaires. Il a été largement utilisé par divers collectifs criminels depuis ses premières itérations ont augmenté l'année dernière à la proéminence des attaques à grande échelle. TrickBot vise à la fois contre les utilisateurs individuels et les institutions financières - il est devenu célèbre pour les messages électroniques quotidiens contenant des pièces jointes malveillantes ou des hyperliens qui mènent à des instances de TrickBot. La plupart des grandes attaques ont été dirigées contre des banques situées aux Etats-Unis.
Depuis Juillet de cette année, une nouvelle campagne de spam est en cours qui utilise le puissant botnet Necurs pour fournir les échantillons de logiciels malveillants auprès des victimes potentielles à travers le monde. L'un des pays les plus touchés sont le Royaume-Uni, USA, Nouvelle-Zélande, Danemark, Canada et d'autres, Nous rappelons à nos lecteurs que c'est l'un des plus grands botnets du monde, à un moment donné, il y a environ un million de bots (hôtes infectés) qui peut être utilisé pour lancer une attaque massive.
victimes informatiques peuvent analyser leurs ordinateurs pour les infections actives et protéger leurs systèmes contre les attaques entrantes en utilisant une qualité solution anti-malware.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: