セキュリティ研究者は、感染キャンペーンや手の込んだ詐欺を実行するために広く使用されている悪名高いTrickBotバンキングトロイの木馬の場合、新しいバージョンを発見しました. 新しいイテレーションには、WannaCryランサムウェアを彷彿とさせるワームのようなモジュールが含まれるようになりました.
進化したTrickBotバンキング型トロイの木馬: 新しいバージョンがインターネット全体に広がる
マルウェアの研究者は、TrickBotバンキング型トロイの木馬の新しいイテレーションを明らかにしました, 手の込んだ詐欺やウイルス攻撃を実行するための最も有能で広く使用されているハッキングツールの1つ. 先週のライブ攻撃で発見されました. 最新リリースで見つかった改善点の1つは、WannaCryランサムウェアに触発されたメカニズムを使用する新しい感染モジュールです。. SMBを使用するマルウェアと同様 (サーバーメッセージブロック) ターゲットシステムに侵入するパケット. これらは、ほとんどのオペレーティングシステムでファイルおよびプリンター共有サービスによって情報を交換するために使用されます。.
取得したバージョンは、犯罪者によって定義された脆弱性を使用してシステムに最初に感染することにより、ハッカーによって定義された事前定義された動作パターンに従います。. 新しいサンプルは、新しいエクスプロイトを介して侵入し、ローカルネットワークでドメインをスキャンすることが判明しています。. マルウェアがネットワークに侵入すると、LDAPプロトコルを使用して他のコンピューターを見つけることができます (ライトウェイトディレクトリアクセスプロトコル) ActiveDirectoryサービスによって使用されます. 調査によると、機能はまだ完全ではなく、その実装は最適化されていません.
TrickBotは、感染したホストから機密情報を抽出できる高度なマルウェアです。. これにはアカウントの資格情報が含まれます, ブラウザから保存されたフォームデータ, 歴史, 行動パターンなど. データはネットワーク接続を介してハッカーに中継され、ハッカーはそれを使用して個人情報の盗難や金融詐欺を実行できます.
進行中のTrickBotバンキング型トロイの木馬攻撃
7月以降 17 今年は、Trickbotバンキングトロイの木馬を主なペイロードとして運ぶ大規模なスパムキャンペーンが少なくとも3つありました。. その背後にあるハッカーは、悪意のあるWSFファイルを含むスパムメッセージを使用します. これらは、オーストラリアの有名な電気通信会社から送信されたように見せかけるWindowsスクリプトファイルです。. ファイルはアーカイブメッセージに配置され、ハッカーによって登録されたさまざまなドメインを使用します.
すべての電子メールは、なりすましの名前とテンプレートメッセージを使用します. いくつかの例には以下が含まれます: ハル (Hal@sabrilex.ru), ダイアン (Diann@revistahigh.com.br), メルバ (Melba@eddiebauer4u.com) その他. このような電子メールは、ターゲットにIMGを使用してZIPに感染したファイルをダウンロードさせようとします。 (画像) プレフィックスとそれに続くランダムに生成された番号. アーカイブの例には次のものがあります: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIPなど.
以前の攻撃では、感染したOfficeドキュメントを含むPDF添付ファイルを使用していました. 問題のキャンペーンでは、悪意のあるマクロを含む埋め込み.xlsmスプレッドシートを使用しました. 侵害されたシステムにインストールされたら, TrickBotバンキング型トロイの木馬をリモートの場所からダウンロードする組み込みのスクリプトがアクティブ化されます.
TrickBotバンキング型トロイの木馬に関する詳細
Trickbotバンキング型トロイの木馬には、ネットワークサービスで使用される2つの機能が含まれています:
- MachineFinder –このモジュールは、侵害されたネットワーク上で利用可能なすべてのサーバーを一覧表示します. これは、Trickbotバンキング型トロイの木馬がシステムに侵入した後に実行される最初の段階の偵察です。.
- ネットスキャン –組み込みコマンドを起動して、ローカルのActiveDirectoryを列挙します.
専門家は、TrickBotバンキング型トロイの木馬の現在のバージョンがPython実装を使用してコマンドを起動することを発見しました. 見つかったイテレーションは、MicrosoftWindowsオペレーティングシステムファミリのすべての最新バージョンと互換性があります:ウィンドウズ 2007, ウィンドウズ 7, ウィンドウズ 2012 およびWindows 8. マルウェアの主な目標の1つは、PowerShellインスタンスを起動することです, 起動すると、セカンダリTrickBotサンプルをアクセスされたネットワーク共有に名前でダウンロードします “setup.exe”. これにより、TrickBotバンキング型トロイの木馬がネットワーク全体に拡散し、WannaCryランサムウェアのような方法で自分自身をコピーできるようになります。.
TrickBotバンキングトロイの木馬のグローバルな影響は拡大し続けています
TrickBotバンキング型トロイの木馬は、銀行の資格情報を盗むために使用される最も広く使用されているマルウェアの1つです。. 昨年、大規模な攻撃で最初の反復が目立つようになって以来、さまざまな犯罪集団によって広く使用されてきました。. TrickBotは、個人ユーザーと金融機関の両方を対象としています。TrickBotインスタンスにつながる悪意のある添付ファイルやハイパーリンクを含む毎日の電子メールメッセージで有名になりました。. 大規模な攻撃のほとんどは、米国にある銀行を狙ったものでした。.
今年の7月以来、強力なNecursボットネットを使用してマルウェアサンプルを世界中の潜在的な被害者に配信する新しいスパムキャンペーンが進行中です。. 最も影響を受けた国の1つは英国です, アメリカ合衆国, ニュージーランド, デンマーク, カナダ他, これは世界最大のボットネットの1つであることを読者に思い出させます, いつでも約100万のボットが存在します (感染したホスト) 大規模な攻撃を開始するために使用できる.
コンピューターの被害者は、高品質のマルウェア対策ソリューションを使用して、コンピューターをスキャンしてアクティブな感染を検出し、侵入する攻撃からシステムを保護できます。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: