연구원들은 TrickBot 개발자를 Diavol 랜섬웨어와 연결했습니다.
포티넷 전문가들이 발표한 보고서, 그들은 잘 알려진 맬웨어 TrickBot의 제작자가 (이 해킹 그룹은 일반적으로 Wizard Spider라고 합니다.) 새로운 Diavol 랜섬웨어 개발에 관여할 수 있음.
6월 초 다양한 시스템에 랜섬웨어 Diavol 및 Conti의 페이로드가 배포되었습니다. 2021. 이 랜섬웨어는 매우 유사하고 공통점이 많습니다., 파일 암호화 중 비동기 I/O 작업 사용 방지, 동일한 기능에 대해 거의 동일한 명령줄 매개변수 사용 (예를 들면, 로그 생성, 디스크 및 네트워크 리소스 암호화, 네트워크 스캔).
하나, 전문가들은 여전히 Diavol 랜섬웨어와 TrickBot 작성자 간의 직접적인 연관성을 찾지 못했습니다., 더구나, 그들은 몇 가지 중요한 차이점을 발견했습니다. 예를 들면, Diavol에는 러시아 및 CIS 국가의 시스템에서 페이로드가 트리거되는 것을 방지하는 내장 검사가 없습니다.. 또한, 새로운 악성코드는 암호화 전에 데이터를 훔치지 않습니다..
그 동안에, 얼마 전 Kryptos Logic은 다음과 같이 발표했습니다. 그것은 변화를 발견했다 TrickBot 악성코드 자체의 코드에서. 전문가들에 따르면, 6월부터 2021, TrickBot은 전자 뱅킹 로그인 자격 증명을 훔치려고 시도하는 이전 뱅킹 구성 요소의 업데이트된 버전을 포함하는 감염된 컴퓨터에서 새 모듈을 시작했습니다..
이 구성 요소는 다시 작성되었으며 이제 은행 웹 사이트에 악성 코드를 삽입하는 새로운 방법이 포함됩니다.. 전문가들은 새 코드가 이전 Zeus 은행가에서 복사되었다고 제안합니다.: 주입은 로컬 SOCKS 서버를 통해 트래픽을 프록시하여 작동합니다.. 트래픽에서 온라인 뱅킹 로그인 페이지가 발생하는 경우, 자격 증명을 훔치거나 기타 악의적인 작업을 수행하도록 트래픽이 수정됨. 이러한 방식으로 TrickBot의 개발자는 다른 뱅킹 트로이 목마와 경쟁하고 일부 고객을 유인하려고 한다고 가정합니다..
TrickBot은 현재까지 가장 크고 성공적인 맬웨어 위협 중 하나입니다.. 맬웨어가 처음 발견되었습니다. 2015, Dyre 해킹 그룹의 구성을 크게 변화시킨 일련의 세간의 이목을 끄는 체포 직후.
수년에 걸쳐, 멀웨어는 은행 계좌에서 자금을 훔치도록 설계된 고전적인 뱅킹 트로이 목마에서 다른 위협을 퍼뜨리는 다기능 드롭퍼로 진화했습니다. (광부에서 랜섬웨어 및 정보 스틸러에 이르기까지).
가을에 2020, 에이 대규모 작업 TrickBot을 제거하기 위해 수행되었습니다.. 법 집행 기관이 참석했습니다., Microsoft Defender 팀의 전문가, 비영리단체 FS-ISAC, 뿐만 아니라 ESET, 루멘, NTT와 시만텍.
그 때 당시, 많은 전문가 썼다 Microsoft가 TrickBot 인프라를 비활성화할 수 있었지만, 아마도 봇넷은 “살아남다” 결국 운영자는 새로운 제어 서버를 가동하고 활동을 계속할 것입니다.. 운수 나쁘게, 이것이 바로 일어난 일입니다.