آخرین اخبار
صفحه اصلی
اخبار

TrickBot صد ساله می شود: آخرین بدافزار منتشر شده با ویژگی های جدید

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
156 نمایش ها

کمیته رکن چهارم – بدافزار Trickbot با بهره‌گیری از ترفندهای جدید، اطلاعات حساس کاربران از جمله گذرواژه‌ها، تاریخچه مرورگر و کوکی‌های برنامه‌ها و مرورگرها را به سرقت می‌برد. نسخه جدید Trickbot ماژول‌های سرقت گذرواژه جدیدی را ارائه کرده است که می‌تواند برنامه‌ها و مرورگرها مانند Outlook، Filezilla، WinSCP، Chrome، Firefox، Internet Explorer و Edge را هدف قرار دهد.

باند جرائم اینترنتی TrickBot صدمین نسخه از بدافزار TrickBot را با ویژگی‌های اضافی برای فرار از شناسایی منتشر کرده است. TrickBot یک فایل آلوده به بدافزار است که معمولاً از طریق ایمیل‌های مخرب فیشینگ یا سایر بدافزارها بر روی گوشی‌ها و کامپیوترها نصب می‌شود.

هنگام نصب، TrickBot بی‌سروصدا روی رایانه قربانی اجرا می‌شود درحالی‌که ماژول‌های دیگر را برای انجام کارهای مختلف بارگیری می‌کند. این ماژول‌ها طیف وسیعی از فعالیت‌های مخرب را شامل می‌شوند، ازجمله سرقت پایگاه داده Active Directory Services دامنه، گسترش جانبی در شبکه، قفل صفحه‌کلیدها، سرقت کوکی‌ها و رمزهای عبور مرورگر و سرقت کلیدهای OpenSSH.

ویژگی‌های جدید اضافه‌شده به TrickBot v100

بعدازاینکه ماه گذشته مایکروسافت و شرکای آن‌ها یک حمله هماهنگ علیه زیرساخت‌های TrickBot انجام دادند، امید می‌رود که بهبودی آن‌ها کمی طول بکشد. متأسفانه، باند TrickBot همچنان ادامه دارد، همان‌طور که با انتشار صدمین ساخت بدافزار TrickBot منتشرشده است.

این جدیدترین ساخته توسط Vitali Kremez از Advanced Intel کشف شد، وی دریافت که آن‌ها ویژگی‌های جدیدی را برای دشوارتر کردن تشخیص اضافه می‌کنند. با این نسخه، TrickBot اکنون DLL خود را به سیستم‌عامل Windows wermgr.exe (گزارش مسئله Windows) که مستقیماً از حافظه با استفاده از کد پروژه “MemoryModule” قابل‌اجرا است، تزریق می‌کند.

صفحه GitHub پروژه توضیح می‌دهد: “MemoryModule کتابخانه‌ای است که می‌تواند با استفاده از آن DLL را به‌طور کامل از حافظه بارگیری کند بدون اینکه ابتدا روی دیسک ذخیره شود.

TrickBot که در ابتدا به‌عنوان یک فایل اجرایی شروع می‌شد، خود را به wermgr.exe تزریق می‌کند و سپس TrickBot اصلی را خاتمه می‌دهد.

هنگام تزریق DLL، این کار را با استفاده از Doppel Hollowing یا پردازش doppelganging انجام می‌دهد تا از شناسایی توسط نرم‌افزار امنیتی جلوگیری شود. این روش با استفاده از تراکنش‌ها، از ویژگی‌های NTFS است که به شما امکان می‌دهد مجموعه‌ای از عملکردها را در سیستم فایل باهم جمع کنید و در صورت عدم موفقیت هر یک از این اقدامات، برگشت کامل رخ می‌دهد.

روند انژکتور تراکنش جدیدی ایجاد می‌کند، در داخل آن این‌یک فایل جدید حاوی محموله مخرب ایجاد می‌کند. سپس پرونده را درون فرآیند هدف نقشه‌برداری می‌کند و درنهایت معامله را دوباره برمی‌گرداند. به‌این‌ترتیب به نظر می‌رسد که پرونده هرگز وجود نداشته است، حتی اگر محتوای آن هنوز در حافظه پردازش شده باشد، درباره این تکنیک توسط محقق امنیتی Francesco Muronie توضیح می‌دهد.

منبع : bleepingcomputer

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.