0
Il Trickbot Trojan obiettivi delle banche di tutto il mondo.
Immagine: iStock
Gli hacker responsabile di una delle forme più comuni di Trojan bancari hanno imparato le lezioni del global WannaCry ransomware scoppio e il Petya attacco, e hanno dotato i loro malware con una propagazione del worm modulo di aiutare a diffondere in modo più efficiente.
Le credenziali per il furto di Trickbot ha colpito il settore finanziario, dall’anno scorso, e più di recente ha aggiunto una lunga lista di regno UNITO e stati UNITI le banche per i propri obiettivi. Gli attacchi sono pochi di numero, ma altamente mirati. Il malware si diffonde via e-mail che pretendono di essere da un’istituzione finanziaria internazionale, che porta la vittima ad una falsa pagina di login utilizzato per rubare le credenziali.
Ora gang Trickbot sono prove tecniche aggiuntive con una nuova versione del malware — conosciuto come 1000029 — e ricercatori Flashpoint che stato a guardare per dire può diffondersi tramite Server Message block (SMB), crudamente a replicare l’exploit che permetteva WannaCry e Petya rapidamente diffuso in tutto il mondo.
Per la sicurezza di Windows difetto noto come EternalBlue era uno dei tanti presumibilmente a NOI noti servizi di intelligence e utilizzato per effettuare la sorveglianza, prima di essere trapelato da the Shadow Broker gruppo di hacker. L’exploit sfrutta una versione di Windows Server Message Block (SMB) protocollo di rete per diffondere se stesso attraverso una rete infetta utilizzo di vermi capacità.
Utilizzando SMB, Trickbot ora possibile eseguire la scansione domini per le liste di server tramite il NetServerEnum API di Windows e stabilire il numero di computer in rete utilizzando il Lightweight Directory Access Protocol (LDAP) enumerazione.
Il malware in grado di sfruttare anche la comunicazione inter-processo di propagare e di eseguire uno script di PowerShell come una finale di payload per scaricare una versione aggiuntiva di Trickbot, questa volta mascherata da ‘setup.exe’ in unità condivisa.
Soprattutto, in questa versione di prova di Trickbot non sembra essere pienamente attuate dall’hacking gang dietro il malware, né ha la capacità di scansione in modo casuale esterno ip per le connessioni SMB, a differenza del verme dietro la WannaCry ransomware.
Tuttavia, i ricercatori avvertono che questo sviluppo dimostra ancora una volta l’evoluzione, il lavoro professionale del cybercrime gang Trickbot come esaminare ulteriori modi per rubare i dati finanziari da banche e società di private wealth management.
In definitiva, se implementato correttamente, il worm è in grado di consentire Trickbot per infettare altri computer sulla stessa rete la macchina inizialmente compromessa da una e-mail di phishing, sia per l’ulteriore furto di credenziali e di ulteriori account di prendere in consegna, o anche a corda in una botnet per l’ulteriore diffusione del malware.
“Anche se il worm modulo sembra essere piuttosto grezzo nel suo stato attuale, è evidente che il Trickbot gang imparato dalla global ransomware come vermi focolai di WannaCry e NotPetya e sta tentando di replicare il loro metodo”, ha detto Vitali Kremez, direttore di Ricerca al punto di Infiammabilità.
Mentre Trickbot non è così prolifico come artisti del calibro di Zeus, Gozi, Ramnit, e Dridex, i ricercatori avvertono che Trickbot continuerà ad essere “forza formidabile” in futuro, come i suoi autori look per aggiungere più potente funzionalità di questo pericoloso malware.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
WannaCry: Perché questo ransomware non dieBotnet utilizzando NSA exploit potrebbe crescere più grande di WannaCry [CNET]Relazione: La top 5 cybersecurity minacce del 2017 [TechRepublic]Ransomware: WannaCry era di base, la prossima volta potrebbe essere molto worseLeaked NSA hacking exploit utilizzato in WannaCry ransomware è ora di accendere il malware Trojan
0