بازار backdoor مرتبط Trickbot تروجان بانکی مبارزات

یک تروجان جدید خانواده مرتبط است به تهدید بازیگران در پشت Trickbot یک پرکار اطلاعات-سرقت Trojan. روز پنجشن

توسط HEKAYATFARDAYEEMAAA در 26 تیر 1399

یک تروجان جدید خانواده مرتبط است به تهدید بازیگران در پشت Trickbot یک پرکار اطلاعات-سرقت Trojan.

روز پنجشنبه Cybereason Nocturnus تیم تحقیقاتی گفت که از ماه آوریل سال جاری backdoor استفاده شده است در حملات علیه اهداف در سراسر ایالات متحده و اروپا است. به ویژه در سازمان های حرفه ای, بهداشت و درمان, آن, تولید و تدارکات سفر و صنایع در کانون توجه است.

در یک پست وبلاگ cybersecurity محققان سند چگونه اولین نوع از نرم افزارهای مخرب به نظر می رسد در طول مارس, اما پس از آن وجود دارد یک وقفه تقریبا دو ماه با یک نمونه جدید در حال ظهور در ماه ژوئن -- همراه با کد بهبود و رفع.

Trickbot یک بانکی و اطلاعات-سرقت تروجان است که به طور سنتی استفاده می شود در برابر خدمات مالی. این بدافزار در طول سال تکامل یافته برای تبدیل شدن به یک دیتا دزد و باتنت تسهیل با زیرساخت های مدولار است که باعث می شود آن را آسان تر برای اپراتورها به نیشگون گرفتن و کشیدن کد و بهبود قابلیت های تهاجمی خود را در طول زمان.

در ماه ژانویه Trickbot اپراتورهای عرضه PowerTrick یک backdoor محفوظ است برای اهداف با ارزش. در حال حاضر مقدمه ای از بازار نرم افزارهای مخرب -- ترکیب لودر و backdoor -- یکی دیگر از ابزار weaponized در Trickbot مبارزات.

فیشینگ مبارزات مربوط به COVID-19 گیر شکایات مشتری و کارمند حقوق و دستمزد استفاده می شود به گسترش نرم افزارهای مخرب. در حالی که اکثر Trickbot مبارزات استفاده های مخرب و فایل پیوست در بازار است گسترش از طریق فیشینگ ایمیل های فرستاده شده از طریق Sendgrid ایمیل بازاریابی پلت فرم که لینک به دام صفحات فرود برای پیش نمایش سند میزبانی در Google Docs.

همچنین نگاه کنید: ساعت هوشمند ردیاب برای آسیب پذیر را می توان هک شده برای ارسال دارو هشدار

به منظور فریب قربانیان به دانلود برنامه های مخرب اسناد و مدارک این صفحه ادعا می کند که پیش نمایش در دسترس هستند.

هنگامی که اسناد و مدارک شده است دانلود و اجرا لودر عنصر carves کردن جای پایی به یک سیستم. مشابه کد است که در بازی بین بازار و استاندارد Trickbot لودر از جمله همان WinAPIs سفارشی RC4 اجرای سنگین و مبهم و تاریک کردن. لودر تلاش خواهد کرد به تزریق خود را به یا svchost اکسپلورر و یا cmd برای اطمینان از آن آوتو ران-اوتو رانز "به هر قیمتی" با توجه به Cybereason و یک وظیفه است و همچنین برنامه ریزی به بار نرم افزارهای مخرب در هنگام راه اندازی.

رمزگذاری بازار backdoor است که لود شده به طور مستقیم به حافظه برای جلوگیری از تشخیص. بازار که سه نسخه در مراحل مختلف توسعه شناسایی شده اند جمع آوری و سرقت اطلاعات سیستم, جعل یک لینک با فرمان و کنترل (C2) و قادر به انجام انواع توابع.

همانطور که اشاره شد توسط روباه از آن محققان این شامل ایجاد یک ID منحصر به فرد برای هر دستگاه آلوده دانلود فایل ها و یا با استفاده از شناسایی فرآیند تزریق و یا Doppelgänging فرایند تزریق اجرای Dll فسخ فرآیندهای خود تخریب.

CNET: Google اهداف stalkerware در به روز رسانی تبلیغ سیاست

Cybereason می گوید ترکیبی از لودر و شر می تواند مورد استفاده قرار گیرد برای دانلود و استقرار نرم افزارهای مخرب های اضافی بر روی کامپیوتر کاربر مانند ransomware به عنوان به خوبی به عنوان exfiltrate اطلاعات برای انتقال مهاجم C2.

دامنه استفاده می شود به منظور تسهیل در بازار لودر و backdoor ها blockchain مبتنی بر از جمله EmerDNS. به عنوان این دامنه غیر متمرکز آنها ممکن است بیشتر مقاوم در برابر حذف درخواست یک مفهوم Cybereason می گوید ساخته شده است blockchain DNS دامنه "یک روند اخیر" در میان بازیگران تهدید.

TechRepublic: نرم افزار-تعریف محیطی ممکن است راه حل به کار از راه دور نگرانی های امنیتی

این همان تاکتیک مورد استفاده در Trickbot لنگر مبارزات به عنوان مستند در دسامبر 2019. Trickbot و لنگر و همچنین به اشتراک گذاری همان سطح بالای بازار دامنه C2.

"تحقیقات ما نشان می دهد که تهدید بازیگر زمان برای بررسی مجدد و بهبود کد ساخت تروجان stealthier" تیم می گوید. "اگر چه این نرم افزارهای مخرب است که هنوز در مراحل توسعه Cybereason تخمین می زند که خود را با آخرین پیشرفت ها و متداول می تواند نشان می دهد افزایش جدید توانمند تهدید یک بار به طور کامل آماده برای تولید."

قبلی و مرتبط با پوشش


یک نکته? در تماس ایمن از طریق واتساپ | سیگنال در +447713 025 499 یا بیش در Keybase: charlie0




tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de
آخرین مطالب
مقالات مشابه
نظرات کاربرن