CYBER NEWS

TrickBot Banking Trojan Bijgewerkt: WannaCry-geïnspireerde Module nu actief

image Trickbot banking trojans

Beveiliging onderzoekers ontdekt een nieuwe versie als de beruchte TrickBot banking Trojan die uitgebreid heeft gebruikt om infectie campagnes en uitgebreide oplichting uit te voeren. De nieuwe iteratie bevat nu een worm-achtige module die doet denken aan de WannaCry ransomware.

Verwante Story: TrickBot Banking Trojan is hier te vervangen Dyre

TrickBot Banking Trojan Evolved: Nieuwe versie verspreidt over het internet

Malware onderzoekers onthulde een nieuwe iteratie van de TrickBot banking Trojan, een van de meest capabele en meest gebruikte hacking tools waarmee u uitgebreide oplichting en virusaanvallen uit te voeren. Het werd gespot in een live-aanval van vorige week. Een van de verbeteringen in de nieuwste release is een nieuwe infectie module die een WannaCry ransomware geïnspireerd mechanisme gebruikt. Net als bij de malware gebruikt het SMB (Server Message Block) pakketten naar de doelsystemen infiltreren. Ze worden gebruikt door de bestands- en printerdeling dienst door de meeste besturingssystemen informatie uit te wisselen.

De verworven uitvoeringen volgen een vooraf bepaald gedragspatroon zoals gedefinieerd door de hackers door eerst de systemen met kwetsbaarheden infecteren zoals gedefinieerd door de criminelen. De nieuwe monsters bleken infiltreren via de nieuwe benutten en scan het lokale netwerk voor domeinen. Zodra de malware het netwerk is geïnfiltreerd kan andere computers via het LDAP-protocol te vinden (Lightweight Directory Access Protocol) gebruikt door de Active Directory-service. Volgens het onderzoek van de functie is nog niet volledig voltooid en de uitvoering ervan is niet geoptimaliseerd.

TrickBot is een geavanceerde malware die in staat is om gevoelige informatie van de geïnfecteerde gastheren te extraheren. Dit geldt ook voor accountgegevens, opgeslagen vorm gegevens van de browsers, geschiedenis, gedragspatronen en etc. De gegevens worden doorgegeven aan de hackers via een netwerkverbinding en ze kunnen het gebruiken om diefstal van identiteit en financiële fraude uit te voeren.

De Lopende TrickBot Banking Trojan Aanval

sinds juli 17 dit jaar zijn er ten minste drie grote schaal spam campagnes die de Trickbot banking Trojan te dragen als de belangrijkste payload zijn geweest. De hackers achter het gebruiken spamberichten die schadelijke WSF bestanden bevatten. Ze zijn Windows Script Bestanden die voordoen als door een bekend Australisch telecombedrijf wordt verzonden. De bestanden worden in archief nieuwe berichten geplaatst en maken gebruik van verschillende domeinen die door de hackers zijn geregistreerd.

Al het e-mailgebruik spoofed namen en template berichten. Enkele voorbeelden zijn de volgende: geval (Hal@sabrilex.ru), Diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) en anderen. Dergelijke e-mails proberen te maken van de doelstellingen het downloaden van een ZIP-geïnfecteerd bestand met de IMG (beeld) prefix gevolgd door een willekeurig gegenereerd getal. Bijvoorbeeld omvatten archieven: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP en anderen.

Een eerdere aanval gebruikt PDF-bijlagen met besmette Office-documenten. De campagne in kwestie gebruikt ingesloten .xlsm werkbladen waarop kwaadaardige macro's. Zodra ze zijn geïnstalleerd op de besmette systeem, een ingebouwde script wordt geactiveerd dat de TrickBot banking Trojan downloadt vanaf een externe locatie.

Verdere details over de TrickBot Banking Trojan

De Trickbot banking Trojan bevat twee functies die worden gebruikt door de netwerkdiensten:

  1. MachineFinder - Deze module toont alle beschikbare servers op de besmette netwerk. Dit is de eerste fase verkenning uitgevoerd zodra de Trickbot banking Trojan is het systeem geïnfiltreerd.
  2. Netscan - Het geeft een opsomming van de lokale Active Directory door de lancering van de ingebouwde commando's.

De deskundigen ontdekten dat de huidige versies van de TrickBot banktrojan gebruik maken van een python implementatie tot de commando's te lanceren. De gevonden iteratie is compatibel met alle moderne versies van het besturingssysteem Microsoft Windows familie:Windows 2007, Windows 7, Windows 2012 en Windows 8. Een van de belangrijkste doelen van malware is om een ​​PowerShell instantie lanceren, Eenmaal gelanceerd het downloaden van een secundaire TrickBot monster op een toegankelijk netwerk te delen onder de naam “setup.exe”. Dit maakt effectief de TrickBot banking Trojan te verspreiden via het netwerk en zichzelf te kopiëren in een WannaCry ransomware-achtige manier.

Verwante Story: Dreambot Banking Trojan malware - detecteren en verwijderen van het

TrickBot Banking Trojan Global Impact blijft stijgen

De TrickBot banking Trojan is een van de meest gebruikte malware gebruikt om bankgegevens te stelen. Het is veelvuldig gebruikt door diverse criminele collectieven sinds haar eerste iteraties nam tot bekendheid vorig jaar in grootschalige aanvallen. TrickBot is zowel gericht tegen individuele gebruikers en financiële instellingen - het werd beroemd voor de dagelijkse e-mailberichten met schadelijke bijlagen of hyperlinks die leiden tot TrickBot instances. Het merendeel van de grote aanvallen waren gericht tegen banken in de Verenigde Staten.

Sinds juli van dit jaar een nieuwe spam-campagne werd gevoerd dat de krachtige Necurs botnet gebruikt om de malware samples te leveren aan potentiële slachtoffers in de hele wereld. Een van de meest getroffen landen zijn het Verenigd Koninkrijk, USA, Nieuw Zeeland, Denemarken, Canada en anderen, We herinneren onze lezers dat dit een van 's werelds grootste botnets, op een gegeven moment zijn er ongeveer een miljoen bots (geïnfecteerde gastheren) die kunnen worden gebruikt om een ​​massale aanval te lanceren.

slachtoffers computer kan hun computers te scannen op actieve infecties en hun systemen tegen inkomende aanvallen te beschermen door middel van een kwaliteit anti-malware oplossing.

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...