0
De Trickbot Trojan doelen banken over de hele wereld.
Beeld: iStock
Hackers die verantwoordelijk zijn voor een van de meest voorkomende vormen van banking Trojans lessen hebt geleerd van de wereldwijde WannaCry ransomware uitbraak en de Petya cyberaanval, en hebben voorzien van hun malware met een worm vermeerdering module te helpen bij het verspreiden efficiënter.
De referentie-stelen Trickbot is het raken van de financiële sector sinds vorig jaar en, meer recent, het heeft toegevoegd een lange lijst van BRITSE en AMERIKAANSE banken aan haar doelstellingen. De aanvallen zijn te klein in aantal, maar zeer gericht. De malware wordt verspreid via e-mails die beweren te zijn van een internationale financiële instelling, die vervolgens leiden dat het slachtoffer een valse login pagina gebruikt om te stelen referenties.
Nu de bende achter Trickbot zijn het testen van extra technieken met een nieuwe versie van de malware, ook wel bekend als 1000029 — en onderzoekers van Flashpoint, die al het kijken naar het zeggen dat het verspreid via het Server Message block (SMB), hoe primitief het repliceren van de exploitatie dat toegestaan WannaCry en Petya snel verspreid over de hele wereld.
Een Windows-lek bekend als EternalBlue was een van de vele vermeende bij ONS bekend inlichtingendiensten en gebruikt voor het uitvoeren van toezicht voor gelekt wordt door de Schaduw Makelaars hacken van de groep. De exploit maakt gebruik van een versie van het Windows Server Message Block (SMB) netwerkprotocol om zichzelf te verspreiden binnen een netwerk met geïnfecteerde wormlike mogelijkheden.
Met behulp van SMB, Trickbot kunt nu scannen domeinen voor lijsten van servers via de NetServerEnum Windows API en de vaststelling van het aantal computers in het netwerk met behulp van Lightweight Directory Access Protocol (LDAP) opsomming.
De malware kan ook gebruik van inter-proces communicatie te propageren en uitvoeren van een PowerShell script als een laatste lading in om te downloaden van een extra versie van Trickbot — deze keer vermomd als ‘setup.exe’ in de gedeelde schijf.
Cruciaal daarbij is dat deze test versie van Trickbot lijkt niet te worden volledig uitgevoerd door het hacken van de bende achter de malware, noch heeft het de mogelijkheid om willekeurig scan externe IPs voor SMB-verbindingen, in tegenstelling tot de worm achter de WannaCry ransomware.
Toch zijn de onderzoekers waarschuwen dat deze ontwikkeling weer toont de ontwikkeling, het professionele werk van de cybercrime bende achter Trickbot als ze kijken naar andere manieren om te stelen van financiële gegevens van de banken en private wealth management van ondernemingen.
Uiteindelijk, indien geïmplementeerd, de worm kan Trickbot om het infecteren van andere computers op hetzelfde netwerk als de machine in eerste instantie aangetast door een phishing e-mail, noch voor de verdere stelen van referenties en verdere account over te nemen, of zelfs aan een touw in een botnet voor verdere verspreiding van malware.
“Hoewel de worm module lijkt te worden in plaats van ruwe olie in de huidige toestand is het duidelijk dat de Trickbot bende geleerd van de wereldwijde ransomware worm-achtige uitbraken van WannaCry en NotPetya en probeert te repliceren hun methodologie,” zei Vitali Kremez, wetenschappelijk directeur van Flashpoint.
Terwijl Trickbot is niet zo vruchtbaar als de wil van Zeus, Gozi, ramnit was, en Dridex, onderzoekers waarschuwen dat Trickbot zal blijven worden “formidabele kracht” in de toekomst, als de auteurs kijken naar het toevoegen van meer krachtige mogelijkheden om deze gevaarlijke malware.
LEES MEER OVER CYBERCRIMINALITEIT
WannaCry: Waarom deze ransomware gewoon niet dieBotnet met behulp van NSA ‘ s exploits kan groeien groter dan WannaCry [CNET] – Rapport: De top-5 van cybersecurity bedreigingen van 2017 [TechRepublic]Ransomware: WannaCry was basic, de volgende keer kan veel worseLeaked NSA hacken exploit gebruikt in WannaCry ransomware is nu het voeden van Trojan malware
0