Incontra TrickBot, relativamente nuovo Trojan bancario che si ritiene essere un parente stretto del vecchio banchiere Dyre. Secondo i ricercatori Fidelis Cybersecurity, TrickBot, rilevato nel mese di settembre 2016 ha molto in comune con Dyre.
Nel caso in cui non si ricorda, l'operazione Dyre è stato interrotto nel mese di novembre 2015 dopo che le autorità russe hanno fatto irruzione una società di distribuzione cinematografica di Mosca. Anche se ci sono voluti un po 'di tempo per le campagne Dyre per arresto, la frequenza dello spam distribuzione Dyre ha iniziato a svanire dopo l'intervento della polizia russa.
Ora sembra che TrickBot è qui per prendere il posto del banchiere devastante. Vediamo che cosa dicono i ricercatori.
TrickBot Banking Trojan: Panoramica tecnica
A causa delle somiglianze abbondanti, i ricercatori sospettano che Fidelis TrickBot è sviluppato dallo stesso team, o membri della squadra che era dietro l'operazione Dyre:
Nel mese di settembre 2016, Fidelis Cybersecurity è stato allertato per un nuovo bot di malware che si definisce TrickBot che riteniamo abbia un forte legame con il trojan bancario Dyre. Da un primo sguardo al loader, chiamato TrickLoader, vi sono alcune somiglianze tra esso e il caricatore che Dyre comunemente usato. Non è fino a decodificare il bot, tuttavia, che le somiglianze diventano sconcertante.
La campagna TrickBot analizzato si basa su webinjects che le banche di destinazione in Australia. È interessante notare che, Trojan bancario è più probabile che una versione riscritta, Non uno vecchio. Mentre il bot svolge funzioni ed attività molto simili, lo stile del codice è piuttosto un po 'diverso rispetto al codice Dyre anziani in diversi modi, ricercatori nota. Alcune delle differenze includono il modo in cui le interfacce bot con TaskScheduler attraverso COM invece di correre direttamente comandi; il bot utilizza Microsoft CryptoAPI anziché SHA256 correre o AES di routine; più C ++ nella bot se rapportato alla Dyre originale che è stata principalmente codificato in C.
D'altronde, ricercatori dicono che TrickLoader, il modulo TrickBot che infetta la vittima, è molto simile caricatore di Dyre.
Sulla base di queste osservazioni, è evidente che v'è un forte legame tra Dyre e TrickBot. Tuttavia, va notato che TrickBot non è una variante copia-incolla ma visualizza un nuovo sostanziale sviluppo. "Con fiducia moderata, valutiamo che uno o più dei sviluppatori originali di Dyre è coinvolto con TrickBot", ricercatori concludono.
Le azioni somiglianze Trickbot con Dyre
il Crypter
Il crypter in TrickBot è personalizzato ed è stato precedentemente trovato in Vawtrak, Pushdo Cutwail e il malware. Come fuori punte, la spambot Cutwail è stato distribuito dagli operatori del Dyre nelle loro campagne di spam.
il Loader
Il caricatore ricorda un sacco di loader di Dyre, tra cui un 86 compresi e la versione x64 bot e un'altra sezione denominata x64 loader.
Il caricatore semplicemente controlla se è in esecuzione su un 32 o sistema a 64 bit prima che decodifica la sezione risorsa appropriata(s).
il Bot
Anche se ci sono molte somiglianze con Dyre, TrickBot è più di un personaggio riscritto.
Questa assunzione è fatta sulla base di vecchio codice Dyre, che utilizzano principalmente funzioni built-in per fare le cose come AES e SHA256 hashing. Nei campioni recenti si identificano come TrickBot, il codice sembra essere basato su quello vecchio codice, ma riscritto per utilizzare le cose come Microsoft CryptoAPI e COM.
Come già accennato, TrickBot è attualmente di mira le banche in Australia.
Dal momento che TrickBot si sta diffondendo nelle campagne di spam e-mail, passare attraverso questi suggerimenti per diminuire le probabilità di infezione.
Anti-Spam Consigli Protezione
- Utilizza un software anti-spam, filtri anti-spam, mirato a esaminare e-mail in entrata. Tale software serve per isolare lo spam da e-mail regolari. I filtri antispam sono progettati per identificare e rilevare lo spam, e impedire che mai raggiungere tua casella di posta. Assicurarsi di aggiungere un filtro anti-spam per e-mail. Gli utenti Gmail possono fare riferimento a pagina di supporto di Google.
- Non rispondere a messaggi e-mail di dubbia e non interagiscono con il loro contenuto. Anche un link 'unsubscribe' all'interno del corpo del messaggio può rivelarsi sospetto. Se si risponde a un messaggio di questo tipo, sarà solo inviare una conferma del tuo indirizzo e-mail a criminali informatici.
- Creare un indirizzo email secondario da utilizzare ogni volta che è necessario registrarsi per un servizio web o registrarsi per qualcosa. Dare via il tuo indirizzo email vero su siti web a caso non è mai una buona idea.
- Il tuo nome e-mail dovrebbe essere difficile da decifrare. La ricerca indica che gli indirizzi e-mail con i numeri, lettere e underscore sono più difficile da decifrare e, in generale ottenere meno email di spam.
- Visualizzare le email in formato testo, e c'è una buona ragione per la quale. Spam che è scritto in HTML può avere codice progettato per reindirizzare l'utente a pagine indesiderate (e.g. pubblicità). Anche, immagini all'interno del corpo e-mail possono essere utilizzati per gli spammer 'telefono di casa' perché li possono utilizzare per individuare i messaggi di posta elettronica attivi per le future campagne di spam. Così, la visualizzazione di messaggi di posta elettronica in formato testo sembra essere la scelta migliore. Per farlo, passare al menu principale della tua e-mail, andare in Preferenze e selezionare l'opzione per leggere le email in formato testo.
- Evitate di pubblicare la tua indirizzo email o un link ad esso su pagine web. bots spam e web spider in grado di individuare gli indirizzi e-mail. Così, se avete bisogno di lasciare il vostro indirizzo e-mail, farlo come segue: NOME [a] MAIL [puntino] com o qualcosa di simile. È anche possibile cercare un modulo di contatto sul sito web - la compilazione di tale modulo non dovrebbe rivelare il tuo indirizzo e-mail o la vostra identità.
E non dimenticate di mantenere il vostro programma in esecuzione anti-malware!
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter