0
Die Trickbot Trojan Ziele Banken rund um die Welt.
Bild: iStock
Hacker verantwortlich für eine der häufigsten Formen von banking-Trojanern haben die lehren aus den globalen WannaCry ransomware-Ausbruch und der Petya cyberattack, und ausgestattet haben, Ihre malware mit einer wurmausbreitung Modul zu helfen, es zu verbreiten effizienter zu gestalten.
Die Anmeldeinformationen stehlen Trickbot wurde das schlagen des Finanzsektors seit dem letzten Jahr und mehr vor kurzem es hat eine lange Liste von UK-und US-Banken zu Ihren Zielen. Die Angriffe werden wenige, aber sehr gezielte. Die malware verbreiten sich über E-Mails, die angeblich von einem internationalen Finanzinstitut, das dann dazu führen, das Opfer auf eine gefälschte login-Seite verwendet, um Anmeldeinformationen stehlen.
Nun ist die Bande hinter Trickbot sind Tests zusätzliche Techniken mit einer neuen version der malware — bekannt als 1000029 — und-Forscher bei Flashpoint, habe beobachtet, wie Sie sagen, kann Sie sich über Server Message block (SMB), grob Replikation der exploit, der erlaubt WannaCry und Petya schnell Verbreitung auf der ganzen Welt.
Eine Windows-Sicherheitslücke bekannt als EternalBlue war einer von vielen, die angeblich bekannt, die US-Geheimdienste und verwendet, um die Durchführung der überwachung vor durchgesickert, die von der Shadow Broker Hacker-Gruppe. Der exploit nutzt eine version von Windows ” Server Message Block (SMB) Netzwerk-Protokoll zu verbreiten, die sich über eine infizierte Netzwerk mit wormlike-Funktionen.
Mithilfe von SMB, Trickbot können nun scan-Domänen für Listen von Servern, die über die NetServerEnum-Windows-API und stellen Sie die Anzahl der Computer, auf das Netzwerk mithilfe von Lightweight Directory Access Protocol (LDAP) – enumeration.
Die malware kann auch nutzen inter-Prozess-Kommunikation zu propagieren und ausführen einer PowerShell-Skript als Letzte Nutzlast zum herunterladen eine zusätzliche version von Trickbot-diesmal maskiert als “setup.exe” in dem freigegebenen Laufwerk.
Entscheidend ist, dass diese test-version von Trickbot scheint nicht vollständig umgesetzt werden, die von der Hacker-Bande, die hinter der malware, noch hat es die Fähigkeit, nach dem Zufallsprinzip Scannen Sie externe IPs für SMB-verbindungen, im Gegensatz zu dem Wurm, der hinter der WannaCry ransomware.
Dennoch, die Forscher warnen, dass diese Entwicklung verdeutlicht einmal mehr die sich entwickelnde, professionelle Arbeit von der cybercrime-Bande hinter Trickbot, wie Sie untersuchen weitere Möglichkeiten, um zu stehlen finanzielle Daten von Banken und private-wealth-management-Firmen.
Schließlich, wenn Sie erfolgreich implementiert, dann könnte der Wurm ermöglichen Trickbot zu infizieren anderen Computern auf dem gleichen Netzwerk wie der Rechner zunächst beeinträchtigt durch eine phishing-E-Mail, entweder für den weiteren Diebstahl von Anmeldeinformationen und weitere-Konto übernehmen oder sogar zu Seil in ein Botnetz zur weiteren Verbreitung von malware.
“Obwohl der Wurm Modul erscheint zu wenig Rohöl in seinem gegenwärtigen Zustand ist es offensichtlich, dass die Trickbot gang gelernt aus der globalen ransomware-Wurm-ähnliche Ausbrüche von WannaCry und NotPetya und versucht zu replizieren und Ihre Methodik”, sagte Vitali Kremez, Leiter der Forschung bei Flashpoint.
Während Trickbot ist nicht so produktiv wie die gerne von Zeus, Gozi, Ramnit, und Dridex, Forscher warnen, dass Trickbot weiterhin “gewaltige Kraft” in die Zukunft, als seine Autoren schauen, um fügen Sie stärker Fähigkeiten, um diese gefährliche malware.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
WannaCry: Warum diese ransomware nicht nur dieBotnet mit NSA-exploits könnte größer als WannaCry [CNET]Report: Die top 5 Cyber-Bedrohungen 2017 [TechRepublic]Ransomware: WannaCry war einfach, das nächste mal könnte viel worseLeaked NSA hacking exploit verwendet in WannaCry ransomware ist jetzt einschalten Trojaner-malware
0