0
Le Trickbot de Troie cibles des banques centrales à travers le monde.
Image: iStock
Les pirates responsables de l’une des formes les plus courantes de chevaux de Troie bancaires, ont appris les leçons du mondial WannaCry ransomware et l’éclatement de la Petya cyberattaque, et ont équipé leurs logiciels malveillants avec une propagation de module pour l’aider à se propager plus efficacement.
Les informations d’identification de vol de Trickbot a été frapper le secteur financier depuis l’an dernier et, plus récemment, il a ajouté une longue liste de royaume-UNI et les banques américaines à ses objectifs. Les attaques sont peu nombreux, mais très ciblé. Le malware se propage via e-mails semblant provenir d’une institution financière internationale, ce qui conduirait alors à la victime d’une fausse page de connexion utilisé pour voler des informations d’identification.
Maintenant, les gangs de derrière Trickbot sont à l’essai des techniques supplémentaires avec une nouvelle version du malware, connues sous le nom 1000029 — et les chercheurs de la zone Litigieuse qui ai regardé il dire qu’il peut se propager via SMB (Server Message block), grossièrement de la réplication de l’exploit qui a permis WannaCry et Petya rapidement répandue à travers le monde.
Un Windows faille de sécurité connue comme EternalBlue était l’un des nombreux auraient connu des services de renseignement AMÉRICAINS et utilisé pour effectuer la surveillance avant d’être coulé par l’Ombre des Courtiers de piratage groupe. L’exploit tire parti d’une version de Windows Server Message Block (SMB), protocole de gestion de réseau pour se propager à travers un réseau infecté à l’aide de vermiforme capacités.
À l’aide de SMB, Trickbot peut maintenant rechercher des domaines pour les listes de serveurs via le NetServerEnum API de Windows et d’établir le nombre d’ordinateurs sur le réseau à l’aide de Lightweight Directory Access Protocol (LDAP) de l’énumération.
Les logiciels malveillants peuvent également tirer parti de communication inter-processus afin de propager et d’exécuter un script PowerShell comme une finale de charge utile afin de télécharger une version supplémentaire de Trickbot — ce temps masqué ‘setup.exe” dans le lecteur partagé.
Surtout, cette version de test de Trickbot ne semblent pas être entièrement mis en œuvre par le piratage gang derrière les malwares, ni n’ont la capacité de hasard analyse externe de l’IPs pour les connexions SMB, contrairement au ver derrière la WannaCry ransomware.
Néanmoins, les chercheurs avertissent que ce développement démontre encore une fois l’évolution, le travail professionnel de la cybercriminalité gang derrière Trickbot comme ils l’étudier de nouvelles façons de voler des données financières auprès des banques privées et sociétés de gestion du patrimoine.
En fin de compte, si déployés avec succès, le ver pourrait permettre Trickbot pour infecter d’autres ordinateurs sur le même réseau que la machine d’abord compromise par un e-mail d’hameçonnage, soit pour la poursuite de voler les informations d’identification et de plus amples compte prendre le dessus, ou même à la corde dans un botnet pour la propagation de logiciels malveillants.
“Même si le ver module semble être assez brut dans son état actuel, il est évident que la Trickbot gang appris de la global ransomware ver-comme les épidémies de WannaCry et NotPetya et tente de reproduire leur méthodologie”, a déclaré Vitali Kremez, directeur de Recherche au point d’éclair.
Alors que Trickbot n’est pas aussi prolifique que les goûts de Zeus, Gozi, Ramnit, et Dridex, les chercheurs avertissent que Trickbot continuera à être “formidable force” dans l’avenir, comme ses auteurs look d’ajouter plus puissant capacités de cette des logiciels malveillants.
LIRE PLUS SUR LA CYBERCRIMINALITÉ
WannaCry: Pourquoi cette ransomware juste ne pas dieBotnet à l’aide de la NSA exploite pourrait devenir plus grand que WannaCry [CNET]Rapport: Le top 5 des menaces de cybersécurité de 2017 [TechRepublic]Ransomware: WannaCry était de base, la prochaine fois pourrait être beaucoup worseLeaked NSA piratage exploiter utilisé dans WannaCry ransomware est maintenant mise sous tension de Troie, les logiciels malveillants
0