0
Den Trickbot Trojan mål banker rundt omkring i verden.
Billede: iStock
Hackere ansvarlig for en af de mest almindelige former for bank trojanere, når du har lært fra de globale WannaCry ransomware udbrud, og Petya cyberattack og har udstyret deres malware med en orm formering modul til mere effektivt spredes gennem netværk af finansielle mål.
Credential-stjæle Trickbot har været at ramme den finansielle sektor siden sidste år, og mere for nylig har tilføjet en lang liste af BRITISKE og AMERIKANSKE banker til sine målsætninger. Angrebene er få i antal, men meget målrettet, med malware spredes via spam-mails, der foregiver at være fra en international finansiel institution, der fører derefter offer for en falsk login-side, der bruges til at stjæle loginoplysninger.
Nu banden bag Trickbot er afprøvning af nye teknikker med en ny version af malware – “1000029” – og forskere på Flammepunkt, der har været at se det, siger, at det kan spredes via SMB (Server Message block) i en rå replikation af den udnyttelse, som tillod WannaCry og Petya hurtigt spredt rundt om i verden.
En Windows-fejl, der er kendt som EternalBlue var en af de mange, der angiveligt kendt, at AMERIKANSKE efterretningstjenester, og som anvendes til at gennemføre overvågning, før de bliver lækket af Skyggen Mæglere hacking gruppen.
Sårbarheden udnytter en version af Windows Server Message Block (SMB) netværksprotokol til at sprede sig på tværs af en inficeret netværk ved hjælp af wormlike kapaciteter.
Ved hjælp af SMB, Trickbot kan nu scanne domæner for lister af servere via NetServerEnum Windows API og fastslå antallet af computere på netværket via Lightweight Directory Access Protocol (LDAP) tælling.
Den malware kan også udnytte inter-process communication til at formere sig, og udføre en PowerShell script, som en endelig nyttelast for at hente en ekstra version af Trickbot – denne gang spurgte “setup.exe” i det delte drev.
Det afgørende er, at denne test-version af Trickbot synes ikke at være fuldt gennemført ved hacking bande bag malware, og det har heller ikke evnen til at tilfældigt scanne eksterne ip ‘ er for SMB-forbindelser, i modsætning til den orm bag WannaCry ransomware.
Ikke desto mindre, forskere advarer om, at denne udvikling igen viser den udvikling, faglige arbejde cyberkriminalitet bande bag Trickbot som de undersøger nye måder at stjæle finansielle data fra banker og private wealth management virksomheder.
I sidste ende, hvis succes har anvendt, orm kan tillade Trickbot til at inficere andre computere på det samme netværk som maskinens i første omgang kompromitteret af en phishing-e-mail, enten for yderligere at stjæle af legitimationsoplysninger og yderligere konto tage over, eller selv at rebet dem ind i et botnet for yderligere spredning af malware.
“Selvom ormen modul ser ud til at være lidt rå i sin nuværende tilstand, er det klart, at Trickbot bande lært af den globale ransomware orm-lignende udbrud af WannaCry og “NotPetya” og forsøger at kopiere deres metoder,” sagde Vitali Kremez, Direktør for Forskning på Flammepunkt.
Mens Trickbot er ikke så produktive som de kan lide af Zeus, Gozi, Ramnit og Dridex, forskere advarer om, at Trickbot vil fortsætte med at være “formidabel kraft” i fremtiden, som forfatterne ser at tilføje mere potente evner til denne farlige malware.
LÆS MERE OM IT-KRIMINALITET
WannaCry: Hvorfor denne ransomware bare ikke dieBotnet hjælp NSA ‘ s bedrifter kan vokse sig større end WannaCry [CNET]Rapport: top 5 cybersecurity trusler af 2017 [TechRepublic]Ransomware: WannaCry var grundlæggende, næste gang kunne være meget worseLeaked NSA hacking, exploit, der anvendes i WannaCry ransomware er nu siddet med Trojan, malware
0