خانه » پست‌هایی با برچسب "Trickbot"

ارتقای در‌پشتی «اسموک‌لودر» به ویژگی ضدتحلیل

پژوهشگران امنیتی هشدار می دهند که هم اینک، درپشتی اِسموک لودِر روش‌های ضدتحلیل پیچیده‌ای دارد و سبب شده است تا سازوکار تحلیل بدافزار قوی‌تری داشته باشد. اِسموک لودِر که با عنوان: “Dofoil” نیز شناخته می شود، در اواسط ۲۰۱۱ میلادی در انجمن های شبکۀ تاریک منتشر شد. با بسته بندی ماژولار، بدافزار می تواند دستور کار های اجرایی ثانویه را دریافت کند و/یا ماژول های کاربردی بیشتری را بارگیری کُند. به تازگی، لودِر در توزیع بدافزارهایی، چون: تروجان بانکی “Trickbot” و باج افزار “GlobeImposter” استفاده شده است. پژوهشگران امنیتی توضیح می دهند که نصب کننده اِسموک لودِر، یک “EnumTools” برای شناسایی و فرار از ابزارهای تحلیل تولید کرده است و از یک واسط برنامه نویسی برای شمارش خدمات در حال اجرای تحلیل استفاده می کند. این بدافزار دوازده فرآیند تحلیل را از طریق روشی برپایۀ درهم سازی بررسی کرده، اگر یکی در حال اجرا باشد، خود را متوقف می کند.

منابع:

🌏: Security Week
🇮🇷: کاشف

افزوده شدن یک کرم اینترنتی به تروجان های بانکی

دو تروجان بانکی با نام های “Emotet” و “Trickbot” به منظور انتشار خود در سطح ماشین های کامپیوتری موجود در یک شبکه داخلی و همچنین بالا بردن شانس خود به منظور آلوده کردن تمامی ماشین ها به ساختار خود یک کرم اینترنتی افزوده اند. این مورد در بین بدافزارهای بانکی کاملا تازه است چرا که تا کنون هیچ تروجان بانکی شناسایی نشده است که دارای ماژول کرم اینترنتی به منظور انتشار خود در سطح یک شبکه داخلی باشد. عموما بدافزارهای طراحی شده برای هدف قرار دادن قسمت های مالی و اقتصادی تمرکز خود را روی ناشناس بودن و همچنین جمع آوری اعتبارنامه قرار می دهند. اما به نظر می رسد بعد از کسب موفقیت باج افزار WannaCry و سپس NotPetya ما شاهد کرم های اینترنتی در بدافزارهای بانکی باشیم. بدافزار Emotet اولین تروجان بانکی است که این قابلیت به آن افزوده شده است. این ویژگی توسط پژوهشگرهای امنیت Fidelis و Barkly شناسایی شده است. این تروجان بانکی یک فایل فشرده شده بر روی ماشین های آلوده شده اجرا کرده و سپس از آن اقدام به جستجو و گرفتن دسترسی به منابع موجود در شبکه داخلی با استفاده از روش جستجوی فراگیر می کند. تروجان بانکی دوم TrickBot است که ماژول شبه کرم به آن افزوده شده است. این تروجان بانکی که از طریق هرزنامه و بات نت Necurs گسترش پیدا می کند با استفاده از رابط برنامه نویسی NetServerEnum لیست دامنه ها را جستجو کرده و اطلاعات دیگر کامپیوترها را از طریق Lightweight Directory Access Protocol جمع آوری می کند. خبر خوب درباره بدافزار TrickBot این است که ماژول کرم SMB این بدافزار به صورت کامل هنوز پیاده سازی نشده است و خبر بد این است که طراحان این بدافزار به صورت مستمر در حال کار و فعالیت هستند که ویژگی های این بدافزار را توسعه بدهند که این بدین معناست زمان زیادی طول نمی کشد که این بدافزار بتواند از آسیب پذیری SMB با موفقیت به منظور انتشار خودش سوء استفاده کند.

منابع:

🌏: https://www.bleepingcomputer.com/news
🇮🇷: کاشف