Meet TrickBot, een relatief nieuwe banking Trojan verondersteld om een nauwe verwant van de oude Dyre bankier. Volgens onderzoekers van Fidelis Cybersecurity, TrickBot, gedetecteerd in september 2016 heeft veel gemeen met Dyre.
In het geval dat je niet meer weet, de Dyre operatie werd beëindigd in november 2015 na de Russische autoriteiten een inval in een Moskou filmdistributeur. Hoewel het duurde enige tijd voor Dyre campagnes om te stoppen, de frequentie van spam verspreiden van Dyre begon te vervagen na tussenkomst van de Russische politie.
Nu blijkt dat TrickBot is hier om de plaats van de verwoestende bankier nemen. Laten we eens zien wat de onderzoekers zeggen.
TrickBot Banking Trojan: technisch overzicht
Vanwege de overvloedige gelijkenissen, Fidelis onderzoekers vermoeden dat TrickBot is ontwikkeld door hetzelfde team, of leden van het team dat achter de Dyre operatie:
In september 2016, Fidelis Cybersecurity werd gewaarschuwd voor een nieuwe malware bot die zichzelf TrickBot dat we geloven heeft een sterke band met de Dyre banking trojan. Vanaf de eerste blik op de laadinrichting, genaamd TrickLoader, Er zijn opvallende overeenkomsten tussen deze en de lader die Dyre veelgebruikte. Het is niet totdat je decoderen van de bot, echter, dat de overeenkomsten worden onthutsend.
De geanalyseerde TrickBot campagne is gebaseerd op webinjects dat banken richten in Australië. belangwekkend, de bancaire Trojan is meer waarschijnlijk een herschreven versie, niet een oude. Terwijl het bot zeer vergelijkbare functies en activiteiten uitoefent, de code stijl is heel wat anders dan de oudere Dyre code op verschillende manieren, onderzoekers constateren. Een deel van de verschillen onder meer de manier waarop het bot interfaces met TaskScheduler door middel van COM in plaats van hardlopen commando's direct; het bot maakt gebruik van Microsoft CryptoAPI in plaats van het runnen van SHA256 of AES routine; meer C ++ in het bot in vergelijking met de oorspronkelijke Dyre die voornamelijk werd gecodeerd in C.
Anderzijds, onderzoekers zeggen dat TrickLoader, de TrickBot module die het slachtoffer infecteert, is erg op elkaar Dyre's loader.
Op basis van deze observaties, het is duidelijk dat er een sterk verband tussen Dyre en TrickBot. Echter, dient te worden opgemerkt dat TrickBot geen copy-paste variant, maar in plaats daarvan wordt een belangrijke nieuwe ontwikkeling. "Met een matige zelfvertrouwen, beoordelen we dat één of meer van de oorspronkelijke ontwikkelaars van Dyre is betrokken bij TrickBot", onderzoekers concluderen.
De gelijkenissen Trickbot deelt met Dyre
de Crypter
De crypter in TrickBot is op maat en werd eerder gevonden in Vawtrak, Pushdo en Cutwail malware. Zoals, de Cutwail spambot werd ingezet door de exploitanten van Dyre in hun spam campagnes.
de Loader
De loader doet veel loader Dyre's, waaronder een met inbegrip van x86 en x64 bot versie en een andere sectie genaamd x64 loader.
De lader controleert alleen als deze wordt uitgevoerd op een 32 of 64 bits systeem voor het decoderen van het desbetreffende gedeelte resource(s).
de Bot
Ook al zijn er veel overeenkomsten met Dyre, TrickBot is meer een herschreven karakter.
Deze aanname wordt gemaakt op basis van oude Dyre code, die voornamelijk zou gebruiken ingebouwde functies voor bijvoorbeeld het doen zoals AES en SHA256 hashing. In de recente monsters zich te identificeren als TrickBot, de code lijkt te zijn gebaseerd op die oude code, maar herschreven om dingen zoals Microsoft CryptoAPI en COM gebruiken.
Zoals reeds gezegd, TrickBot is momenteel gericht op banken in Australië.
De volledige technische openbaarmaking
Aangezien TrickBot wordt verspreid in e-mail spam campagnes, gaan door deze tips om de kans op een infectie te verminderen.
Anti-Spam Protection Tips
- Employ anti-spam software, spamfilters, gericht op de behandeling van inkomende e-mail. Dergelijke software dient om spam van de reguliere e-mails te isoleren. Spam filters zijn ontworpen om te identificeren en op te sporen spam, en voorkomen dat het ooit uw inbox bereiken. Zorg ervoor dat u een spam-filter toe te voegen aan uw e-mail. Gmail-gebruikers kunnen verwijzen naar Google's support pagina.
- Beantwoord geen dubieuze e-mailberichten en nooit communiceren met hun inhoud. Zelfs een 'unsubscribe' link in het bericht lichaam kan blijken te achterdochtig te zijn. Als u op zo'n bericht reageert, je gewoon een bevestiging van je eigen e-mailadres aan cyber oplichters.
- Maak een tweede e-mailadres te gebruiken wanneer u het nodig om te registreren voor een webdienst of meld je aan voor iets. Het geven van je echte e-mailadres weg op willekeurige websites is nooit een goed idee.
- Uw e-naam moet moeilijk te kraken. Onderzoek wijst uit dat e-mailadressen met nummers, letters en underscores zijn moeilijker te kraken en in het algemeen krijgt minder spam e-mails.
- Bekijk uw e-mails in platte tekst, en er is een goede reden waarom. Spam, dat is geschreven in HTML-code kan zijn ontworpen om u te leiden naar ongewenste pagina (b.v.. reclame). Ook, afbeeldingen in de e-mail lichaam kan worden gebruikt om 'telefoon thuis' spammers omdat ze kunnen gebruiken om actieve e-mails voor toekomstige spam campagnes lokaliseren. Zo, het bekijken van e-mails in platte tekst lijkt de betere optie. Om dit te doen, Navigeer naar het hoofdmenu van uw e-mail, ga naar Voorkeuren en selecteer de optie om e-mails in platte tekst te lezen.
- Vermijd het versturen van uw e-mailadres of een link naar het op webpagina's. Spam bots en web spiders kunnen e-mailadressen te lokaliseren. Zo, als je nodig hebt om uw e-mailadres achter te laten, doe het als volgt: NAAM [bij] MAIL [stip] com of iets dergelijks. U kunt ook zoeken naar een contactformulier op de website - het invullen van dit formulier moet niet je e-mailadres of uw identiteit te onthullen.
En vergeet niet om uw anti-malware programma draaiende te houden!
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter