De Trickbot banking Trojan heeft ontvangen en augustus 2018 -update die een nieuwe code-injectie module voegt. De beruchte malware in de loop der jaren actief gebleven als een van de meest prominente Trojaanse paarden gebruikt voor financiële misdrijven. De nieuw toegevoegde component laat zien dat de ontwikkeling niet tot stilstand is gekomen en dat we kunnen anticiperen op verdere updates ook.
The August 2018 Trickbot Banking Trojan distributiemethoden hetzelfde blijven
De Trickbot banking Trojan in het augustus 2018 vrijgave verspreid middels geïnfecteerd payloads. De belangrijkste methode die de meeste aanvallers lijken e-mail phishing-berichten die ofwel zijn de malware-bestanden als bijlagen of gekoppeld in de inhoud lichaam. De e-mails zijn ontworpen om te verschijnen als wordt verzonden door een bekende Internet bedrijf of dienst. De ladingen zijn meestal documenten (rich tekstdocumenten, spreadsheets, presentaties of databases) die gebruik maken van kwaadaardige macro's. Zodra ze worden geopend een melding prompt waarin wordt gevraagd de gebruikers om de scripts in te schakelen. Wanneer dit gebeurt de infectie zal volgen.
Andere technieken die kunnen worden gebruikt om dergelijke dreigingen te verspreiden onder meer de volgende:
- Bestanden delen Networks - Een groot percentage van virusinfecties (waaronder Trickbot banking Trojan) kan veroorzaakt worden door het downloaden van bestanden van file sharing netwerken zoals BitTorrent. Ze zijn bekend om het verspreiden van piraten en illegale inhoud.
- Fake Download Sites - De criminelen kunnen kwaadaardige sites dat het ontwerp elementen van bekende Internet portals of leverancier download sites maken gebruik van maken.
- Browser hijackers - Schadelijke gebruikers kunnen de code van het virus te bedden in plugins gemaakt voor de meest populaire web browsers. Ze zijn meestal geüpload naar de relevante repositories met behulp reviews valse gebruiker en een uitgebreide beschrijving. Dergelijke technieken dwingen de gebruiker tot het installeren van de plugins door te beloven nieuw toegevoegde functionaliteit of andere extra's die niet beschikbaar zijn. De naam “browser kaper” komt voort uit de veronderstelling dat bij de installatie een ingebouwde patroon wordt uitgevoerd - worden de standaardinstellingen worden veranderd om de slachtoffers te leiden naar een hacker gecontroleerde pagina. Hierna zal het virus infectie worden geactiveerd.
Nadat de kwaadaardige macro's worden uitgevoerd een PowerShell script zal worden gedownload en run. Deze actie zal de levering van een versluierde versie van de Trickbot banking Trojan triggeren.
Augustus 2018 Trickbot Banking Trojan Changes: Wat is er nieuw
Na de Trickbot banking Trojan is verworven op de besmette host van de nieuw geïmplementeerde stealth code injectie zal worden uitgevoerd. Het zal de infectie te slapen voor een bepaalde tijd (30 seconden). Dit is een techniek die handtekening scans gebruikt door beveiligingssoftware, zoals anti-virus oplossingen kunnen onttrekken, sandbox omgevingen en virtual machine hosts. Hun real-time motoren kunnen worden omzeild of geheel verwijderd worden door de kwaadaardige code.
De eigenlijke ontcijferen van de obfuscated Trickbot banking Trojan wordt uitgevoerd nadat de stealth bescherming code heeft volledige. De nieuwere versie van de malware-toepassingen direct system calls die vergelijkbaar Flokibot, een variant van Zeus. Dit toont aan dat de hackers achter de nieuwe Trickbot banktrojan vrijlating verschillende code bronnen zou hebben gebruikt.
De dreiging behoudt de mogelijkheid om te sluiten op het systeem diensten en door de gebruiker geïnstalleerde toepassingen. Dit type malware richt zich op een aantal belangrijke gebieden:
- Diefstal van gegevens - Trojans zijn doorgaans voorzien van een component die de snaren door de gebruikers ingevoerde tracks. Wanneer een waarde van belang is geopenbaard kan automatisch worden doorgegeven aan de hackers. De meesten van hen willen doelwit private gebruikersgegevens hun naam - die kunnen hun identiteit bloot te leggen en kan worden misbruikt, adres, belangen, locatie en wachtwoorden.
- phishing Mechanics - Het gebruik van ingebouwde instructies de banktrojan valse inlogpagina's om populaire diensten kunnen presenteren als zij op het web browsers worden ingevoerd.
- hacker Controle - Door aan te sluiten op een hacker gecontroleerde server de kwaadwillige operatoren in staat om te spioneren voor de gebruikers in real-time zal zijn, inhalen controle van de gastheren en het implementeren van andere bedreigingen.
Het feit dat het werk op de Trickbot banking Trojan blijft lang na de eerste release laat zien dat veel criminele groepen blijven vertrouwen op een aantal belangrijke malware families in het coördineren van grootschalige infectie campagnes.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: