Beveiliging onderzoekers ontdekt een nieuwe versie als de beruchte TrickBot banking Trojan die uitgebreid heeft gebruikt om infectie campagnes en uitgebreide oplichting uit te voeren. De nieuwe iteratie bevat nu een worm-achtige module die doet denken aan de WannaCry ransomware.
TrickBot Banking Trojan Evolved: Nieuwe versie verspreidt over het internet
Malware onderzoekers onthulde een nieuwe iteratie van de TrickBot banking Trojan, een van de meest capabele en meest gebruikte hacking tools waarmee u uitgebreide oplichting en virusaanvallen uit te voeren. Het werd gespot in een live-aanval van vorige week. Een van de verbeteringen in de nieuwste release is een nieuwe infectie module die een WannaCry ransomware geïnspireerd mechanisme gebruikt. Net als bij de malware gebruikt het SMB (Server Message Block) pakketten naar de doelsystemen infiltreren. Ze worden gebruikt door de bestands- en printerdeling dienst door de meeste besturingssystemen informatie uit te wisselen.
De verworven uitvoeringen volgen een vooraf bepaald gedragspatroon zoals gedefinieerd door de hackers door eerst de systemen met kwetsbaarheden infecteren zoals gedefinieerd door de criminelen. De nieuwe monsters bleken infiltreren via de nieuwe benutten en scan het lokale netwerk voor domeinen. Zodra de malware het netwerk is geïnfiltreerd kan andere computers via het LDAP-protocol te vinden (Lightweight Directory Access Protocol) gebruikt door de Active Directory-service. Volgens het onderzoek van de functie is nog niet volledig voltooid en de uitvoering ervan is niet geoptimaliseerd.
TrickBot is een geavanceerde malware die in staat is om gevoelige informatie van de geïnfecteerde gastheren te extraheren. Dit geldt ook voor accountgegevens, opgeslagen vorm gegevens van de browsers, geschiedenis, gedragspatronen en etc. De gegevens worden doorgegeven aan de hackers via een netwerkverbinding en ze kunnen het gebruiken om diefstal van identiteit en financiële fraude uit te voeren.
De Lopende TrickBot Banking Trojan Aanval
sinds juli 17 dit jaar zijn er ten minste drie grote schaal spam campagnes die de Trickbot banking Trojan te dragen als de belangrijkste payload zijn geweest. De hackers achter het gebruiken spamberichten die schadelijke WSF bestanden bevatten. Ze zijn Windows Script Bestanden die voordoen als door een bekend Australisch telecombedrijf wordt verzonden. De bestanden worden in archief nieuwe berichten geplaatst en maken gebruik van verschillende domeinen die door de hackers zijn geregistreerd.
Al het e-mailgebruik spoofed namen en template berichten. Enkele voorbeelden zijn de volgende: geval (Hal@sabrilex.ru), Diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) en anderen. Dergelijke e-mails proberen te maken van de doelstellingen het downloaden van een ZIP-geïnfecteerd bestand met de IMG (beeld) prefix gevolgd door een willekeurig gegenereerd getal. Bijvoorbeeld omvatten archieven: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP en anderen.
Een eerdere aanval gebruikt PDF-bijlagen met besmette Office-documenten. De campagne in kwestie gebruikt ingesloten .xlsm werkbladen waarop kwaadaardige macro's. Zodra ze zijn geïnstalleerd op de besmette systeem, een ingebouwde script wordt geactiveerd dat de TrickBot banking Trojan downloadt vanaf een externe locatie.
Verdere details over de TrickBot Banking Trojan
De Trickbot banking Trojan bevat twee functies die worden gebruikt door de netwerkdiensten:
- MachineFinder - Deze module toont alle beschikbare servers op de besmette netwerk. Dit is de eerste fase verkenning uitgevoerd zodra de Trickbot banking Trojan is het systeem geïnfiltreerd.
- Netscan - Het geeft een opsomming van de lokale Active Directory door de lancering van de ingebouwde commando's.
De deskundigen ontdekten dat de huidige versies van de TrickBot banktrojan gebruik maken van een python implementatie tot de commando's te lanceren. De gevonden iteratie is compatibel met alle moderne versies van het besturingssysteem Microsoft Windows familie:Windows 2007, Windows 7, Windows 2012 en Windows 8. Een van de belangrijkste doelen van malware is om een PowerShell instantie lanceren, Eenmaal gelanceerd het downloaden van een secundaire TrickBot monster op een toegankelijk netwerk te delen onder de naam “setup.exe”. Dit maakt effectief de TrickBot banking Trojan te verspreiden via het netwerk en zichzelf te kopiëren in een WannaCry ransomware-achtige manier.
TrickBot Banking Trojan Global Impact blijft stijgen
De TrickBot banking Trojan is een van de meest gebruikte malware gebruikt om bankgegevens te stelen. Het is veelvuldig gebruikt door diverse criminele collectieven sinds haar eerste iteraties nam tot bekendheid vorig jaar in grootschalige aanvallen. TrickBot is zowel gericht tegen individuele gebruikers en financiële instellingen - het werd beroemd voor de dagelijkse e-mailberichten met schadelijke bijlagen of hyperlinks die leiden tot TrickBot instances. Het merendeel van de grote aanvallen waren gericht tegen banken in de Verenigde Staten.
Sinds juli van dit jaar een nieuwe spam-campagne werd gevoerd dat de krachtige Necurs botnet gebruikt om de malware samples te leveren aan potentiële slachtoffers in de hele wereld. Een van de meest getroffen landen zijn het Verenigd Koninkrijk, USA, Nieuw Zeeland, Denemarken, Canada en anderen, We herinneren onze lezers dat dit een van 's werelds grootste botnets, op een gegeven moment zijn er ongeveer een miljoen bots (geïnfecteerde gastheren) die kunnen worden gebruikt om een massale aanval te lanceren.
slachtoffers computer kan hun computers te scannen op actieve infecties en hun systemen tegen inkomende aanvallen te beschermen door middel van een kwaliteit anti-malware oplossing.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter