0
Den Trickbot Trojan mål banker runt om i världen.
Bild: iStock
Hackare som ansvarar för en av de vanligaste formerna av banktrojaner har lärt sig läxan från de globala WannaCry ransomware utbrott och Petya cyberattack, och har utrustat sina malware med en mask spridning modul för att det sprids mer effektivt.
Den referens som stjäl Trickbot har varit att träffa den finansiella sektorn sedan förra året och mer nyligen har lagt till en lång lista av BRITTISKA och AMERIKANSKA banker till dess mål. Attackerna är få i antal, men mycket målinriktad. Skadlig kod sprids via e-post som utger sig för att vara från en internationell finansiell institution, som sedan leder offret till en falsk inloggningssida som används för att stjäla inloggningsuppgifter.
Nu har gänget bakom Trickbot testar ytterligare tekniker med en ny version av skadlig kod — känd som 1000029 — och forskare vid Flashpoint som har sett den säger att den kan spridas via Server Message block (SMB), grovt replikera en exploatering som tillät WannaCry och Petya att snabbt sprida sig runt om i världen.
En Windows säkerhetsbrist känd som EternalBlue var en av många påstås ha känt till USA: s underrättelsetjänst och som används för att utföra övervakningen innan som läckt ut från Skuggan Mäklare hacka gruppen. Utnyttja använder en version av Windows Server Message Block (SMB) nätverksprotokoll som används för att sprida sig över en infekterad nätverk med wormlike kapacitet.
Med hjälp av SMB, Trickbot kan nu skanna domäner för listor av servrar via NetServerEnum Windows API och fastställa det antal datorer på nätverket med hjälp av Lightweight Directory Access Protocol (LDAP) uppräkning.
Det skadliga programmet kan också utnyttja inter-process kommunikation att sprida och genomföra ett PowerShell script som en sista nyttolast för att ladda ner en ytterligare version av Trickbot-den här gången maskerade som “setup.exe” i den delade enheten.
Ytterst, detta test version av Trickbot verkar inte vara fullt ut av att hacka gänget bakom skadlig kod, och det har inte heller förmågan att slumpmässigt skanna externa IPs för SMB-anslutningar, till skillnad från masken bakom WannaCry ransomware.
Ändå, forskare varnar för att denna utveckling visar återigen hur utvecklas professionellt arbete av it-relaterad brottslighet gänget bakom Trickbot som de undersöka ytterligare möjligheter att stjäla finansiella uppgifter från banker och privata wealth management företag.
I slutändan, om framgångsrikt ut, masken kan tillåta Trickbot för att infektera andra datorer på samma nätverk som maskinen ursprungligen äventyras av en phishing e-post, antingen för ytterligare stöld av referenser och ytterligare konto ta över, eller ens att repa in dem i ett botnät för ytterligare spridning av skadlig kod.
“Även om masken modulen verkar vara ganska grov i sitt nuvarande skick, är det uppenbart att Trickbot gänget lärt sig från den globala ransomware mask-liknande utbrott av WannaCry och NotPetya och försöker kopiera deras metoder, säger Vitali Kremez, chef för Forskning vid Flashpoint.
Medan Trickbot är inte lika produktiv som gillar Zeus, Gozi, Ramnit, och Dridex, forskare varnar för att Trickbot kommer att fortsätta att vara “formidabel kraft” i framtiden, som författarna ser att lägga till mer potenta möjligheter till detta farliga malware.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
WannaCry: Varför denna ransomware bara inte dieBotnet med NSA: s bedrifter kunde växa sig större än WannaCry [MAG]Rapport: topp 5 it hot av 2017 [TechRepublic]Ransomware: WannaCry var grundläggande, nästa gång kan vara mycket worseLeaked NSA hacka utnyttja används i WannaCry ransomware är nu att driva Trojan malware
0