TrickBotに会う, 古いDyreバンカーの近親者であると考えられている比較的新しいバンキング型トロイの木馬. FidelisCybersecurityの研究者によると, TrickBot, 9月に検出 2016 Dyreと多くの共通点があります.
覚えていない場合, ダイアの操業は11月に中止されました 2015 ロシア当局がモスクワの映画配給会社を襲撃した後. Dyreキャンペーンが停止するのに少し時間がかかりましたが, ロシアの警察の介入後、Dyreを配布するスパムの頻度は減少し始めました.
今、TrickBotが壊滅的な銀行家の代わりにここにいるようです. 研究者の言うことを見てみましょう.
TrickBotバンキング型トロイの木馬: 技術概要
たくさんの類似点のため, フィデリスの研究者は、TrickBotが同じチームによって開発されていると疑っています, またはDyre操作の背後にいたチームのメンバー:
九月に 2016, Fidelis Cybersecurityは、Dyreバンキングトロイの木馬との強いつながりがあると私たちが信じているTrickBotと呼ばれる新しいマルウェアボットについて警告を受けました。. ローダーを一目見たところから, TrickLoaderと呼ばれる, Dyreが一般的に使用していたローダーとの間にいくつかの顕著な類似点があります. ボットをデコードするまではありません, でも, 類似点が驚異的になること.
分析されたTrickBotキャンペーンは、オーストラリアの銀行を対象としたWebインジェクトに基づいています. 興味深いことに, バンキング型トロイの木馬は、書き直されたバージョンである可能性が高い, 古いものではありません. ボットは非常によく似た機能とアクティビティを実行しますが, コードスタイルは、いくつかの点で古いDyreコードとはかなり異なります。, 研究者は注意する. いくつかの違いには、ボットがコマンドを直接実行する代わりに、COMを介してTaskSchedulerとインターフェイスする方法が含まれます; ボットは、SHA256またはAESルーチンを実行する代わりにMicrosoftCryptoAPIを使用します; ほとんどがCでコーディングされた元のDyreと比較した場合、ボット内のC++が多くなります.
一方で, 研究者はTrickLoaderと言います, 犠牲者に感染するTrickBotモジュール, Dyreのローダーと非常によく似ています.
これらの観察に基づいて, DyreとTrickBotの間に強いつながりがあることは明らかです. でも, TrickBotはコピー&ペーストのバリアントではなく、実質的な新しい開発を表示することに注意してください。. 「「適度な自信を持って, Dyreの元の開発者の1人がTrickBotに関与していると評価します」, 研究者は結論.
TrickbotがDyreと共有する類似点
クリプター
TrickBotのクリプターはカスタムであり、以前はVawtrakで見つかりました, PushdoおよびCutwailマルウェア. 指摘したように, CutwailスパムボットはDyreのオペレーターによってスパムキャンペーンで展開されました.
ローダー
ローダーは多くのDyreのローダーを思い出させます, x86およびx64ボットバージョンとx64ローダーという名前の別のセクションを含む.
ローダーは、で実行されているかどうかを確認するだけです。 32 または適切なリソースセクションをデコードする前の64ビットシステム(s).
ボット
Dyreと多くの類似点がありますが, TrickBotはもっと書き直されたキャラクターです.
この仮定は、古いDyreコードに基づいて行われます。, これは主に、AESやSHA256ハッシュなどを実行するための組み込み関数を使用します. 最近のサンプルでは、TrickBotとして自分自身を識別しています, コードはその古いコードに基づいているように見えますが、MicrosoftCryptoAPIやCOMなどを使用するように書き直されています.
すでに述べたように, TrickBotは現在オーストラリアの銀行をターゲットにしています.
TrickBotが電子メールスパムキャンペーンで広まっているので, 感染の可能性を減らすためにこれらのヒントを通過します.
スパム対策保護のヒント
- スパム対策ソフトウェアを採用する, スパムフィルター, 受信メールの調査を目的としています. このようなソフトウェアは、通常の電子メールからスパムを分離するのに役立ちます. スパムフィルターは、スパムを識別および検出するように設計されています, 受信トレイに届かないようにします. メールにスパムフィルターを追加してください. Gmailユーザーは参照できます Googleのサポートページ.
- 疑わしい電子メールメッセージに返信したり、コンテンツを操作したりしないでください. メッセージ本文内の「購読解除」リンクでさえ、疑わしいことが判明する可能性があります. あなたがそのようなメッセージに答えるなら, 自分のメールアドレスの確認をサイバー詐欺師に送信するだけです.
- Webサービスに登録したり、何かにサインアップしたりする必要があるときに使用する予備の電子メールアドレスを作成します. ランダムなウェブサイトであなたの本当のメールアドレスを提供することは決して良い考えではありません.
- あなたのメール名は解読するのが難しいはずです. 調査によると、番号付きのメールアドレス, 文字とアンダースコアは解読が難しく、一般的にスパムメールが少なくなります.
- メールをプレーンテキストで表示する, そしてそれには正当な理由があります. HTMLで記述されたスパムには、不要なページにリダイレクトするように設計されたコードが含まれている可能性があります (例えば. 広告). また, 電子メール本文内の画像は、将来のスパムキャンペーンのためにアクティブな電子メールを見つけるために使用できるため、スパマーに「電話をかける」ために使用できます。. したがって, プレーンテキストで電子メールを表示する方が良いオプションのようです. そうするために, メールのメインメニューに移動します, [設定]に移動し、プレーンテキストでメールを読むオプションを選択します.
- あなたのメールアドレスやそのリンクをウェブページに投稿することは避けてください. スパムボットとウェブスパイダーはメールアドレスを見つけることができます. したがって, メールアドレスを残す必要がある場合, 次のようにしてください: 名前 [で] 郵便物 [ドット] comまたは類似のもの. ウェブサイトでお問い合わせフォームを探すこともできます。そのフォームに記入しても、メールアドレスや身元が明らかになることはありません。.
そして、マルウェア対策プログラムを実行し続けることを忘れないでください!
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: