Nul
De TrickBot Trojan is uitgebreid met nieuwe modules te maken van de opsporing, en de verdediging bemoeilijken.
Voor het eerst ontdekt in 2016, TrickBot is een financiële Trojan die zich richt op de klanten van grote banken.
De Trojan is het meest verbonden met phishing campagnes die gebruikers verleiden tot het invoeren van hun referenties in phishing en frauduleuze websites van banken, ontworpen om te verschijnen als een legitieme dienst.
Online banking klanten van de VS, het verenigd koninkrijk, Australië en andere landen zijn meestal gericht.
De malware heeft “voortdurend ondergaan, updates en wijzigingen in de pogingen om één stap voor te blijven verdedigers,” volgens onderzoekers van de Webroot.
Nu, een nieuwe module is geïnstalleerd, die maakt niet alleen ontdekking moeilijk, maar maakt gebruik van een sluitsysteem, vergelijkbaar met ransomware.
De Trojan al pogingen om het gebruik van de Microsoft Windows kwetsbaarheid EternalBlue om systemen te infecteren, die is gekoppeld aan campagnes, waaronder de rampzalige WannaCry campagne van 2017.
In een blog post op woensdag onderzoekers van de cybersecurity bedrijf zei dat op 15 Maart, Webroot zag een nieuwe module, tabDll32 / tabDll64, die werd gedownload door TrickBot in het eerste voorbeeld van het systeem dat wordt gebruikt in het wild.
De module, intern bekend als spreader_x86.dll bevat twee nieuwe uitvoerbare bestanden die het verbeteren van de malware de mogelijkheden.
Wanneer TrickBot gevaar van een systeem, het installeert zichzelf in een TeamViewer map en voert, het creëren van een “Modules” map versleuteld plug-and-play modules de malware op steunt.
Er zijn reeds goed gedocumenteerde injector, DLL knoeien, en de worm modules, maar nu, tabDll32 (Spreader_x86.dll) voegt twee bestanden, SsExecutor_x86.exe en screenLocker_x86.dll.
Spreader_x86.dll pogingen om gebruik te maken EternalBlue te verspreiden, maar de module verschijnt nog steeds in ontwikkeling als er sprake is van DLL-injector mechanismen snel geript van GitHub repositories.
De tweede fase, SsExecutor_x86.exe loopt na de exploit heeft haar taak vervuld. Dit programma probeert over te nemen van de register-profielen gebruiken voor het toevoegen van een link naar de Trojan de opstartmap te handhaven persistentie.
De andere uitvoerbare, ScreenLocker_x86.dll is een interessant bestand dat pogingen om het “lock” slachtoffer machines in een soortgelijke manier als ransomware.
Geschreven in Delphi, de module niet compleet, maar het geeft ons een interessant kijkje in de afpersing van de exploitant van de plannen.
“Het vergrendelen van de computer van een slachtoffer voordat je in staat bent om te stelen van hun bank referenties waarschuwingen van het slachtoffer dat ze besmet zijn, waardoor de kans voor credit card of bank diefstal,” Webroot zegt. “Echter, het afpersen van het slachtoffer om te ontgrendelen van de computer is een veel eenvoudiger het genereren van inkomsten regeling.”
Webroot zegt de module wordt alleen ingezet na infectie vectoren zijn voltooid, en het is dus waarschijnlijk dat de vergrendeling code zou worden gebruikt om te “richten zich vooral op de niet gecorrigeerde corporate netwerken.”
Als zakelijke gebruikers minder geneigd zijn om de toegang tot hun online bankrekeningen op het netwerk, sluitsystemen kunnen een back-geld-regeling maken voor de Trojan.
Zie ook: Cryptografische verkreukelde: De codering ‘middle ground’ voor de overheid toezicht
“De TrickBot auteurs blijven doelgroep diverse financiële instellingen over de hele wereld, met behulp van MS17-010 exploits in een poging om met succes zijwaarts bewegen in een slachtoffer-netwerk,” zeggen de onderzoekers. “Dit wordt gecombineerd met een onvoltooide “screenLocker” module in een nieuwe poging om geld af te persen van de slachtoffers.”
Webroot toegevoegd dat TrickBot voortdurend in ontwikkeling en zo kunnen we waarschijnlijk meer modules en mogelijkheden vastgeschroefd aan de malware in de toekomst.
Eerder deze maand een nieuwe campagne genaamd FlawedAmmyy werd ontdekt door Proofpoint onderzoekers. De campagne maakt gebruik van remote access Trojans om compromissen te sluiten Pc ‘ s, uitvoeren van toezicht, en het stelen van gevoelige gegevens.
Vorige en aanverwante dekking
ManageEngine zero-day kwetsbaarheden impact drie van de vijf van de Fortune 500-de Kunstmatige intelligentie van de toets ‘meer met minder’ in de beveiliging van enterprise-cloud-services De Donkere Web: hoeveel is uw bank account waard?
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0