تروجان بانکی IcedID و Trickbot

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

تروجان بانکی IcedID و Trickbot

q792

تروجان بانکی IcedID از زمان کشف آن در سپتامبر ۲۰۱۷ تاکنون، در حال اجرا بوده است. این تروجان در شش ماه نخست سال جاری، توسط سایر تروجان‌های بانکی شناخته شده مانند Emotet و Ursnif نیز منتشر شده است. استفاده از این روش، قابلیت توزیع تروجان را افزایش می‌دهد. این رفتار به دانلودکننده‌ها، که خود نیز تروجان بانکی هستند، اجازه می‌دهد تا در حین ارائه خدمات توزیع بدافزاری به سایر تروجان‌ها، عملیات سایبری خود را نیز انجام دهند. علاوه‌ براین، سرویس‌های بدافزاری مختلف شانس استخراج اطلاعات ارزشمند را به کمک چندین اکسپلویت بدافزاری افزایش می‌دهند.
آزمایشگاه FortiGuard اخیرا متوجه شده است که سرورهای کنترل و فرمان( C&C ) بات‌نت Trickbot دستوراتی مبنی بر دانلود یک نسخه بروزرسانی شده از تروجان بانکی IcedID را به قربانیان خود ارسال می‌کند. ماه گذشته SC Magazine عکس این سناریو را گزارش کرد که IcedID، در حال دانلود Trickbot بوده است.
علاوه بر این، پس از بررسی اجمالی رفتار IcedID، بنظر می‌رسد که این تروجان بانکی به گونه‌ای بروزرسانی شده است که روش‌های استفاده شده توسط آن، بسیار شبیه به روش‌های Trickbot است. در ارتباطات بین Trickbot و IcedID مشاهده شده است که Trickbot دستوری را ارسال می‌کند تا فایل اجرایی crypt_۲_۱۰۰_۱.exe را دانلود کند.
از آنجا که دستور Trickbot برای دانلود IcedID دو هفته گذشته مشاهده شده است و پس از آن درخواست دانلود دیگر یا روش‌های توزیع بیشتر مشاهده نشده است، نسخه جدید IcedID در مرحله انتشار گسترده قرار ندارد. این نسخه از IcedID ابتدا پیکربندی C&C که حاوی شناسه بات، شناسه وابستگی و دامنه‌های سرور C&C است را رمزگشایی می‌کند. در مرحله بعدی، بدافزار یک شناسه منحصر به فرد را بر اساس اطلاعات SID دامنه رایانه آلوده تولید می‌کند. در صورت در دسترس نبود این اطلاعات، تاریخ سیستم استفاده خواهد شد. این شناسه برای تولید رشته‌های مختلف برای نامه‌ای فایل، پوشته، رویداد و ... و به عنوان کلید RC۴ برای رمزگذاری ماژول‌های دانلود شده، استفاده می‌شود. در این نسخه بدافزار نیز مشابه نسخه قبلی، از پروتکل HTTPS برای ارتباطات بین کاربر آلوده و سرور C&C استفاده می‌شود. پس از ارسال گزارش به سرور C&C، سرور کنترل پاسخی را در قالب یک پیام چندخطی ارسال می‌کند که حاوی آرایه‌ای از توابعی است که روی ماشین قربانی اجرا خواهند شد.
یکی از تفاوت‌های نسخه بروزرسانی‌شده IcedID نسبت به نسخه قبلی، که برگرفته از Trickbot است، پیاده‌‌سازی ماژول‌های آن در فرایندهای پردازشی مختلف است. در نسخه‌های قبلی تمامی ماژول‌ها در فایل اجرایی اصلی قرار داشت.
در نهایت باید گفت که اکوسیستم جرایم سایبری در حال تغییر است. دیگر تروجان‌های بانکی به دنبال حذف فرایندهای سایر تروجان‌ها در سیستم قربانی نیستند. به غیر از IcedID و Trickbot، مشارکت‌های دیگری نیز در توزیع تروجان‌های بانکی، میان بدافزارهای مختلف گزارش شده است. مشارکت بین IcedID و Trickbot تنها در توزیع و انتشار تروجان نیست و بنظر می‌رسد که در توسعه بدافزار نیز تعاملاتی وجود داشته است.
IoCها:

q793

منبع:

https://www.fortinet.com/blog/threat-research/icedid---trickbot--a-give-and-take-relationship.html

منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری