Το TrickBot επιστρέφει με νέες δυνατότητες

Oί hackers πίσω από το TrickBot cybercrime κυκλοφόρησαν την εκατοστή έκδοση του κακόβουλου λογισμικού,  με πρόσθετες δυνατότητες για να αποφεύγει τον εντοπισμό του.

Το TrickBot εγκαθίσταται συνήθως μέσω κακόβουλων μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing) ή άλλου κακόβουλου λογισμικού. Όταν εγκατασταθεί, το TrickBot θα τρέξει αθόρυβα στον υπολογιστή του θύματος, ενώ ταυτόχρονα πραγματοποιεί λήψη άλλων ενοτήτων για την εκτέλεση διαφορετικών εργασιών.

Αυτές οι λειτουργικές μονάδες εκτελούν ένα ευρύ φάσμα κακόβουλης δραστηριότητας, συμπεριλαμβανομένης της  κλοπής της βάσης δεδομένων Active Directory Services ενός τομέα , της εξάπλωσης τους σε ένα δίκτυο, του κλειδώματος οθόνης, της κλοπής των cookie και των κωδικών πρόσβασης του προγράμματος περιήγησης και της  κλοπής κλειδιών OpenSSH .

Το TrickBot είναι γνωστό ότι ολοκληρώνει μια επίθεση δίνοντας πρόσβαση στους hackers πίσω από τα ransomware Ryuk και  Conti για να επιδεινώσουν τα πράγματα.

Προστέθηκαν νέες δυνατότητες στο TrickBot v100

Αφού η Microsoft και οι συνεργάτες της πραγματοποίησαν μια συντονισμένη επίθεση εναντίον της υποδομής του TrickBot τον περασμένο μήνα, ήλπιζαν ότι οι hackers θα χρειαστούν λίγο χρόνο για να τα ανακάμψουν.

  6 απάτες της Black Friday και πώς να τις αποφύγετε!

Δυστυχώς, η συμμορία του TrickBot εξακολουθεί να είναι ενεργή, όπως φαίνεται από την κυκλοφορία της εκατοστής έκδοσης του κακόβουλου λογισμικού του.

Αυτή η τελευταία έκδοση  ανακαλύφθηκε  από τον Vitali Kremez της Advanced Intel, ο οποίος διαπίστωσε ότι πρόσθεσαν νέες δυνατότητες για να είναι πιο δύσκολο να εντοπιστεί.

Με αυτήν την έκδοση, το TrickBot εισάγει τώρα το δικό του dll στο νόμιμο εκτελέσιμο αρχείο των Windows wermgr.exe (Αναφορά προβλημάτων των Windows), απευθείας από τη μνήμη χρησιμοποιώντας κώδικα από το έργο “MemoryModule”.

“Το MemoryModule είναι μια βιβλιοθήκη που μπορεί να χρησιμοποιηθεί για την πλήρη φόρτωση ενός DLL από τη μνήμη – χωρίς να αποθηκεύεται πρώτα στο δίσκο”, εξηγεί η σελίδα του έργου MemoryModule στο GitHub .

Αρχικά ξεκινήσει ως εκτελέσιμο αρχείο, το TrickBot θα εισαχθεί μέσα στο wermgr.exe και στη συνέχεια θα τερματίσει το αρχικό εκτελέσιμο TrickBot.

Σύμφωνα με τον Kremez, κατά την “ένεση” του DLL, θα το κάνει χρησιμοποιώντας το Doppel Hollowing ή θα επεξεργαστεί το doppelganging , για να αποφύγει την ανίχνευση από λογισμικό ασφαλείας.

Δυστυχώς, αυτό σημαίνει ότι το TrickBot είναι εδώ για να μείνει στο άμεσο μέλλον και οι καταναλωτές και η επιχειρήσεις πρέπει να παραμείνουν σε επαγρύπνηση και να είναι έξυπνοι με τα συνημμένα email που ανοίγουν.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


5  +  4  =