Casa > cibernético Notícias > TrickBot Banking Trojan está aqui para substituir Dyre
CYBER NEWS

TrickBot Banking Trojan está aqui para substituir Dyre

infectados pelo trojan

Conheça TrickBot, relativamente novo Trojan bancário acredita-se ser um parente próximo do antigo banqueiro Dyre. De acordo com pesquisadores Fidelis Cybersecurity, TrickBot, detectados em Setembro 2016 tem muito em comum com Dyre.

Caso você não se lembre, a operação Dyre foi descontinuada em novembro 2015 depois que as autoridades russas invadiram uma empresa de distribuição de filmes em Moscou. Mesmo que tenha demorado algum tempo para as campanhas de Dyre pararem, a frequência de distribuição de spam do Dyre começou a diminuir após a intervenção da polícia russa.

relacionado: O malware Bartalex baseado em macro espalha o Pony Loader e o Dyre Trojan

Agora parece que TrickBot está aqui para tomar o lugar do banqueiro devastador. Vamos ver o que os pesquisadores dizem.


TrickBot Banking Trojan: Visão geral técnica

Por causa das semelhanças abundantes, Pesquisadores da Fidelis suspeitam que o TrickBot seja desenvolvido pela mesma equipe, ou membros da equipe que estava por trás da operação Dyre:

Em setembro 2016, O Fidelis Cybersecurity foi alertado sobre um novo bot de malware que se autodenomina TrickBot, que acreditamos ter uma forte conexão com o cavalo de Troia bancário Dyre. Desde o primeiro olhar para o carregador, chamado TrickLoader, existem algumas semelhanças impressionantes entre ele e o carregador que o Dyre costumava usar. Não é até você decodificar o bot, Contudo, que as semelhanças se tornam surpreendentes.

A campanha TrickBot analisada é baseada em webinjects que visam bancos na Austrália. Curiosamente, o Trojan bancário é mais provavelmente uma versão reescrita, não é um velho. Enquanto o bot executa funções e atividades muito semelhantes, o estilo do código é um pouco diferente do antigo código Dyre de várias maneiras, nota pesquisadores. Algumas das diferenças incluem a forma como o bot faz interface com TaskScheduler por meio de COM, em vez de executar comandos diretamente; o bot usa Microsoft CryptoAPI em vez de executar a rotina SHA256 ou AES; mais C ++ no bot quando comparado ao Dyre original, que era principalmente codificado em C.

Por outro lado, pesquisadores dizem que TrickLoader, o módulo TrickBot que infecta a vítima, é muito parecido com o carregador de Dyre.

Com base nessas observações, é evidente que existe uma forte ligação entre Dyre e TrickBot. Contudo, deve-se notar que TrickBot não é uma variante de copiar e colar, mas em vez disso exibe um novo desenvolvimento substancial. “Com confiança moderada, avaliamos que um ou mais dos desenvolvedores originais do Dyre está envolvido com o TrickBot”, pesquisadores concluem.


As semelhanças que o Trickbot compartilha com Dyre

The Crypter

O crypter no TrickBot é personalizado e foi encontrado anteriormente no Vawtrak, Malware Pushdo e Cutwail. Como apontado, o spambot Cutwail foi implantado pelos operadores da Dyre em suas campanhas de spam.

The Loader

O carregador lembra muito o carregador de Dyre, incluindo uma versão de bot x86 e x64 e outra seção chamada carregador x64.

O carregador simplesmente verifica se ele está sendo executado em um 32 ou sistema de 64 bits antes de decodificar a seção de recursos apropriada(s).

O bot

Embora existam muitas semelhanças com Dyre, TrickBot é mais um personagem reescrito.

Esta suposição é feita com base no antigo código Dyre, que usaria principalmente funções integradas para fazer coisas como hashing AES e SHA256. Nos exemplos recentes, identificando-se como TrickBot, o código parece ser baseado naquele código antigo, mas reescrito para usar coisas como Microsoft CryptoAPI e COM.

Como já mencionado, TrickBot está atualmente visando bancos na Austrália.

divulgação técnico completo

Como o TrickBot está sendo espalhado em campanhas de spam por e-mail, siga estas dicas para diminuir as chances de uma infecção.

Dicas de proteção anti-spam

  • Empregar software anti-spam, filtros de spam, destinada a examinar e-mails recebidos. Esse software serve para isolar o spam de e-mails regulares. filtros de spam são projetados para identificar e detectar spam, e evitar que chegue à sua caixa de entrada. Certifique-se de adicionar um filtro de spam para o seu e-mail. Os usuários do Gmail podem referir-se a do Google página de suporte.
  • Não responda a mensagens de e-mail duvidosas e nunca interaja com seu conteúdo. Mesmo um link de "cancelar inscrição" no corpo da mensagem pode ser suspeito. Se você responder a essa mensagem, você apenas enviará uma confirmação do seu próprio endereço de e-mail para os cibercriminosos.
  • Crie um endereço de e-mail secundário para usar sempre que precisar se registrar em um serviço da web ou se inscrever em algo. Distribuir seu endereço de e-mail verdadeiro em sites aleatórios nunca é uma boa ideia.
  • Seu nome de e-mail deve ser difícil de decifrar. A pesquisa indica que os endereços de e-mail com números, letras e sublinhados são mais difíceis de decifrar e geralmente recebem menos e-mails de spam.
  • Visualize seus e-mails em texto simples, e há uma boa razão para. O spam escrito em HTML pode ter um código projetado para redirecioná-lo a páginas indesejadas (por exemplo. publicidade). Além disso, imagens dentro do corpo do e-mail podem ser usadas para "telefonar para casa" remetentes de spam, porque eles podem usá-las para localizar e-mails ativos para futuras campanhas de spam. portanto, visualizar e-mails em texto simples parece ser a melhor opção. Para fazê-lo, navegue até o menu principal do seu e-mail, vá em Preferências e selecione a opção de ler e-mails em texto simples.
  • Evite postar seu endereço de e-mail ou um link para ele em páginas da web. Spam bots e web spiders podem localizar endereços de e-mail. portanto, se você precisar deixar seu endereço de e-mail, faça como segue: NOME [em] CORRESPONDÊNCIA [ponto] com ou algo semelhante. Você também pode procurar um formulário de contato no site - o preenchimento desse formulário não deve revelar seu endereço de e-mail ou sua identidade.

E não se esqueça de manter seu programa anti-malware em execução!

Baixar

Remoção de Malware Ferramenta


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo