Το TrickBot επιστρέφει με νέες δυνατότητες

Oί hackers πίσω από το TrickBot cybercrime κυκλοφόρησαν την εκατοστή του κακόβουλου λογισμικού,  με πρόσθετες δυνατότητες για να αποφεύγει τον εντοπισμό του.

Το TrickBot εγκαθίσταται συνήθως μέσω κακόβουλων μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing) ή άλλου κακόβουλου λογισμικού. Όταν εγκατασταθεί, το TrickBot θα τρέξει αθόρυβα στον υπολογιστή του θύματος, ενώ ταυτόχρονα πραγματοποιεί λήψη άλλων ενοτήτων για την εκτέλεση διαφορετικών εργασιών.

Αυτές οι λειτουργικές μονάδες εκτελούν ένα ευρύ φάσμα κακόβουλης δραστηριότητας, συμπεριλαμβανομένης της  κλοπής της βάσης δεδομένων Active Directory Services ενός τομέα , της εξάπλωσης τους σε ένα , του κλειδώματος οθόνης, της κλοπής των και των κωδικών πρόσβασης του προγράμματος περιήγησης και της  κλοπής κλειδιών OpenSSH .

Το TrickBot είναι γνωστό ότι ολοκληρώνει μια επίθεση δίνοντας πρόσβαση στους hackers πίσω από τα Ryuk και  Conti για να επιδεινώσουν τα πράγματα.

Προστέθηκαν νέες δυνατότητες στο TrickBot v100

Αφού η Microsoft και οι συνεργάτες της πραγματοποίησαν μια συντονισμένη επίθεση εναντίον της υποδομής του TrickBot τον περασμένο μήνα, ήλπιζαν ότι οι hackers θα χρειαστούν λίγο χρόνο για να τα ανακάμψουν.

Δυστυχώς, η συμμορία του TrickBot εξακολουθεί να είναι ενεργή, όπως φαίνεται από την κυκλοφορία της εκατοστής έκδοσης του κακόβουλου λογισμικού του.

Αυτή η τελευταία έκδοση  ανακαλύφθηκε  από τον Vitali Kremez της Advanced Intel, ο οποίος διαπίστωσε ότι πρόσθεσαν νέες δυνατότητες για να είναι πιο δύσκολο να εντοπιστεί.

Με αυτήν την έκδοση, το TrickBot εισάγει τώρα το δικό του dll στο νόμιμο εκτελέσιμο αρχείο των Windows wermgr.exe (Αναφορά προβλημάτων των Windows), απευθείας από τη μνήμη χρησιμοποιώντας κώδικα από το έργο “MemoryModule”.

“Το MemoryModule είναι μια βιβλιοθήκη που μπορεί να χρησιμοποιηθεί για την πλήρη φόρτωση ενός DLL από τη μνήμη – χωρίς να αποθηκεύεται πρώτα στο δίσκο”, εξηγεί η σελίδα του έργου MemoryModule στο GitHub .

Αρχικά ξεκινήσει ως εκτελέσιμο αρχείο, το TrickBot θα εισαχθεί μέσα στο wermgr.exe και στη συνέχεια θα τερματίσει το αρχικό εκτελέσιμο TrickBot.

Σύμφωνα με τον Kremez, κατά την “ένεση” του DLL, θα το κάνει χρησιμοποιώντας το Doppel Hollowing ή θα επεξεργαστεί το doppelganging , για να αποφύγει την ανίχνευση από λογισμικό ασφαλείας.

Δυστυχώς, αυτό σημαίνει ότι το TrickBot είναι εδώ για να μείνει στο άμεσο μέλλον και οι καταναλωτές και η επιχειρήσεις πρέπει να παραμείνουν σε επαγρύπνηση και να είναι έξυπνοι με τα συνημμένα email που ανοίγουν.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.082 εγγεγραμμένους.

DLLhackhackersransomwaretrickBotwermgr

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).