I ricercatori di sicurezza hanno scoperto una nuova versione se il Trojan bancario infame TrickBot che è stato ampiamente utilizzato per effettuare campagne di infezione e truffe elaborati. La nuova iterazione include ora un modulo vermiforme che ricorda il ransomware WannaCry.
TrickBot Banking Trojan Evolved: Nuova versione diffonde attraverso Internet
i ricercatori di malware hanno rivelato una nuova iterazione del Trojan TrickBot bancaria, uno degli strumenti di hacking più capaci e ampiamente utilizzato per eseguire truffe elaborate e attacchi di virus. E 'stato avvistato in un attacco in diretta la scorsa settimana. Uno dei miglioramenti presenti nella versione più recente è un nuovo modulo di infezione che utilizza un meccanismo WannaCry ransomware ispirato. Simile al di malware che utilizza SMB (Server Message Block) pacchetti di infiltrarsi nei sistemi di destinazione. Essi sono utilizzati dal servizio di condivisione di file e stampanti dalla maggior parte dei sistemi operativi per lo scambio di informazioni.
Le versioni acquisite seguono uno schema comportamento predefinito come definito dalle hacker dapprima infettando i sistemi che utilizzano vulnerabilità come definito dalle criminali. I nuovi campioni sono stati trovati per infiltrarsi attraverso il nuovo exploit e la scansione della rete locale per i domini. Una volta che il malware si è infiltrato nella rete che riesce a trovare altri computer che utilizzano il protocollo LDAP (Lightweight Directory Access Protocol) utilizzato dal servizio Active Directory. Secondo la ricerca la funzione non è ancora del tutto completa e la sua attuazione non è ottimizzato.
TrickBot è un malware sofisticato che è in grado di estrarre informazioni sensibili dagli host infettati. Questo include credenziali di account, dati del modulo memorizzati dal browser, storia, modelli di comportamento ed ecc. I dati vengono inoltrati agli hacker tramite una connessione di rete e possono utilizzarlo per eseguire il furto di identità e frodi finanziarie.
Il TrickBot corso Banking Trojan Attacco
Dal luglio 17 quest'anno ci sono stati almeno tre campagne di spam su vasta scala che portano il Trojan Trickbot bancaria come payload principale. Gli hacker dietro di esso utilizzare i messaggi di spam che includono file WSF dannosi. Sono file di Windows Script che pongono come inviato da una società di telecomunicazioni australiana nota. I file vengono messi in archiviare i messaggi e utilizzare diversi domini che sono registrati dagli hacker.
Tutto l'uso di posta elettronica falsificato i nomi e messaggi di template. Alcuni esempi sono i seguenti: caso (Hal@sabrilex.ru), Diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) e altri. Tali messaggi di posta elettronica tentativo di rendere gli obiettivi di scaricare un file ZIP-infettati con l'IMG (Immagine) prefisso seguito da un numero generato in modo casuale. Archivi esempio includono: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP e altri.
Un precedente attacco usato allegati PDF contenente i documenti di Office infetti. La campagna in questione usato fogli di calcolo xlsm incorporati che contengono le macro dannosi. Una volta che sono installati sul sistema compromesso, uno script incorporato viene attivato che scarica il Trojan TrickBot bancaria da una postazione remota.
Ulteriori dettagli circa la TrickBot Trojan bancari
Il Trojan Trickbot bancario comprende due funzioni che vengono utilizzate dai servizi di rete:
- MachineFinder - Questo modulo elenca tutti i server disponibili sulla rete compromessa. Questa è la prima ricognizione fase eseguito una volta che il Trojan Trickbot bancaria si è infiltrata nel sistema.
- NetScan - E 'enumera active directory locale con il lancio di comandi incorporati.
Gli esperti hanno scoperto che le attuali versioni di Trojan bancari TrickBot utilizzano un'implementazione pitone per lanciare i comandi. La trovata di iterazione è compatibile con tutte le versioni moderne della famiglia sistema operativo Microsoft Windows:Windows 2007, Windows 7, Windows 2012 e Windows 8. Uno dei principali obiettivi di malware è quello di lanciare un'istanza PowerShell, una volta lanciato si scarica un campione TrickBot secondaria su una condivisione di rete accessibile sotto il nome “setup.exe”. Questo permette efficacemente il TrickBot banking Trojan per diffondere attraverso la rete e si copia in un modo WannaCry ransomware-like.
TrickBot Banking Trojan Global Impact continua ad aumentare
Il Trojan TrickBot bancario è uno dei malware più diffuso utilizzato per rubare le credenziali bancarie. E 'stato ampiamente utilizzato da diversi collettivi criminali fin dai suoi primi iterazioni è salito alla ribalta l'anno scorso in attacchi su larga scala. TrickBot è rivolta sia contro i singoli utenti e le istituzioni finanziarie - è diventato famoso per messaggi e-mail al giorno contenenti allegati dannosi o collegamenti ipertestuali che portano alle istanze TrickBot. La maggior parte dei grandi attacchi miravano contro banche situate negli Stati Uniti.
Fin dal luglio di quest'anno una nuova campagna di spam è in corso che utilizza il potente botnet Necurs di consegnare i campioni di malware ai potenziali vittime in tutto il mondo. Uno dei paesi più colpiti sono il Regno Unito, Stati Uniti d'America, Nuova Zelanda, Danimarca, Canada e altri, Ricordiamo ai nostri lettori che questa è una delle più grandi botnet al mondo, in un dato momento ci sono circa un milione di bot (host infettati) che può essere utilizzato per lanciare un attacco massiccio.
vittime computer può eseguire la scansione loro computer per le infezioni attive e proteggere i loro sistemi dagli attacchi in arrivo utilizzando una qualità soluzione anti-malware.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: