انتشار بدافزار بانکی Trickbot

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

شرکت امنیتی فلش ‌پوینت از کشف نسخه‌ جدیدی از تروجان بانکی Trickbot خبر داد که شامل یک ماژول انتشار کرم‌ مانند است

شرکت امنیتی فلش‌پوینت می‌گوید بدافزار گریه عمدتاً از طریق هرزنامه در قالب فاکتورهای جعلی از سوی خدمات مالی بین‌المللی توزیع می‌شود. موفقیت نسبی که سازندگان نمونه‌های باج‌افزار گریه و نات‌ پتیا در توزیع بدافزارهای خود با استفاده از روش انتشار کرم‌مانند داشتند به‌نظر می‌رسد الهام‌ بخش دیگران برای دنبال کردن همان رویکرد است.

شرکت امنیتی فلش ‌پوینت این هفته درباره کشف نسخه‌ جدیدی از تروجان بانکی Trickbot که شامل یک ماژول انتشار کرم ‌مانند است، خبر داد. این بدافزار عمدتاً از طریق هرزنامه در قالب فاکتورهای جعلی از سوی خدمات مالی بین‌ المللی توزیع می‌شود. هنگامی‌که بدافزار سامانه را آلوده می‌کند، به ‌گونه‌ای طراحی شده‌است تا از طریق سرویسSMB به‌طور محلی در شبکه گسترش یابد. ماژول انتشار جدید، آماده‌ پویش یک دامنه‌ آلوده برای کارگزارها و رایانه‌های آسیب‌ پذیر از طریق شمارش واسط‌های برنامه‌ نویسیNetServerEnum  ویندوز و پروتکل دسترسی به فهرست راهنمای LDAP است.

محقق امنیتی فلش‌پوینت در وبلاگ این هفته نوشت: «تاکنون هیچ‌گونه شواهدی از نسخه‌ اصلاح‌ شده‌ Trickbot که از طریق اشتراک SMB توزیع شود، مشاهده نشده‌است. این امر نشان می‌دهد که سازندگان بدافزار هنوز به‌طور کامل این قابلیت را اجرا نکرده‌اند. به گفته‌ محققان، احتمال دارد که سازندگان بدافزار چگونگی حرکت جانبی Trickbot در یک شبکه‌ محلی را با هدف آلوده کردن رایانه‌های بیشتر و همکاری آن‌ها با یک بات‌نت آزمایش کنند».

اخبار مربوط به ماژول جدید کرم مانند در Trickbot تنها چند روز پس از آن که فلش‌پوینت هشدار داد که Trickbot برای اولین‌بار از آن برای هدف‌گیری و آلوده کردن مشتریان بانک‌های آمریکا و مؤسسات مالی استفاده کرده‌است، منتشر شد. اگرچه Trickbot از اواسط سال 
۲۰۱۶ میلادی تاکنون وجود داشته‌است، اما قربانیان را تنها خارج از آمریکا هدف قرار می‌دهد. اما از اواسط ماه ژوئیه، پویش جدیدی با استفاده از هرزنامه‌ Trickbot توسط بات‌نت مشهور Necurs طراحی شده‌است که کاربرانی را در آمریکا، انگلستان، نیوزیلند، کانادا، دانمارک و چندین کشور دیگر هدف قرار داده‌است.

بات‌نت Necurs یکی از بزرگ‌ترین بات‌نت‌های جهان با بیش از یک‌میلیون بات‌ آلوده‌ Necurs است که همیشه فعال هستند. این بات‌نت چندین سال است که برای ارائه‌ طیف وسیعی از بدافزارها مورد استفاده قرار گرفته‌است. به‌تازگی برای افزودن یک جزء جدید که امکان استفاده از آن را برای راه‌اندازی حملات منع سرویس وجود دارد، تنظیم شده‌است.

شرکت امنیتی فلش‌پوینت گفت: «از 
۱۷ ژوئیه، حداقل سه موج هرزنامه بات‌نت Necurs وجود داشت که آخرین‌بار شامل Trickbot بوده‌است. موج هرزنامه‌ اولیه حاوی یک ایمیل با یک پرونده‌ اسکریپت مخرب ویندوز بود که به‌نظر می‌رسید از سوی شرکت مخابراتی استرالیایی باشدجدیدترین ایمیل‌ها تکامل یافته و شامل اسناد ماکروی مخرب به‌عنوان پرونده‌ پیوست هستند».