TrickBot, kurbanları izlemek için yeni bir modül aldı
Buna göre Kontrol Noktası, TrickBot, dünyadaki en aktif tehditlerden biri olmaya devam ediyor, hatta kurbanları izlemek için yeni bir modül ediniyor. Ayrıca, arka arkaya ikinci ay için en aktif kötü amaçlı yazılım sıralamasında TrickBot'un öncelikli olduğu görülüyor..
Emotet botnetinden sonra yok edildi kolluk kuvvetleri tarafından, TrickBot etkinliği büyümeye devam ediyor.
Yani, Haziranda 2021, TrickBot hakkında saldırıya uğradı 7% dünyadaki şirketlerin, ve araştırmacılar, fidye yazılımı gruplarının (Örneğin, Ryuk ve REvil) enfeksiyonun ilk aşamalarında farklı kötü amaçlı yazılımlar kullanın, ama asıl olan hala TrickBot.
TrickBot'un günümüzün en büyük ve en başarılı kötü amaçlı yazılımlarından biri olduğunu hatırlatmama izin verin.. Kötü amaçlı yazılım ilk kez tekrar görüldü 2015, Dyre hack grubunun yapısını önemli ölçüde değiştiren bir dizi yüksek profilli tutuklamadan kısa bir süre sonra.
Yıllar sonra, kötü amaçlı yazılım, banka hesaplarından para çalmak için tasarlanmış klasik bir bankacılık Truva Atı'ndan, diğer tehditleri yayan çok işlevli bir damlalığa dönüşmüştür. (madencilerden fidye yazılımlarına ve bilgi hırsızlarına). Örneğin, TrickBot, Ryuk gibi iyi bilinen fidye yazılımları tarafından kullanılıyor, Conti ve REvil.
sonbaharında 2020, büyük ölçekli operasyon gerçekleştirildiği TrickBot'u ortadan kaldırmayı amaçlayan. Emniyet teşkilatları katıldı, Microsoft Defender ekibinden uzmanlar, kar amacı gütmeyen kuruluş FS-ISAC, ESET'in yanı sıra, Lümen, NTT ve Symantec. O zaman, birçok uzman, Microsoft'un devre dışı bırakabilirdi TrickBot altyapısı, büyük ihtimalle botnet “hayatta kalmak” ve sonunda operatörleri yeni kontrol sunucularını devreye alacak ve faaliyetlerine devam edecekler.. ne yazık ki, olan şey bu.
Bitdefender uzmanları yazmak kötü amaçlı yazılım geliştiricilerinin yakın zamanda VNC modülünü güncellediğini (vncDLL), özellikle önemli hedeflere yapılan saldırılardan sonra kullanılan. Güncellenen modüle tvncDLL adı verilir ve saldırganların kurbanlarını gözetlemelerine olanak tanır., Saldırının kurbanın ağındaki en önemli sistemlere aktarılmasını sağlayacak bilgilerin toplanması.
tvncDLL modülü bu yıl Mayıs ayının ortalarında görüldü, ama hala geliştirme aşamasında, ve hack grubunun bir “düzenli olarak yeni özellikler ekleyen ve hataları düzelten güncelleme programı.”
Modülün analizi, özel bir iletişim protokolü kullandığını ve kontrol sunucusuyla dokuz proxy IP adresinden biri aracılığıyla iletişim kurduğunu gösterir., güvenlik duvarlarının arkasındaki kurbanlara erişim sağlayan.
VNC modülü, TrickBot'un çalışmasını durdurabilir ve hatta kötü amaçlı yazılımları bellekten kaldırabilir. Kötü amaçlı yazılım operatörü iletişimi başlattığında, modül, özel bir arayüze sahip sanal bir masaüstü oluşturur.
Komut satırını kullanma, kötü amaçlı yazılım operatörleri, C'lerinden yeni yükleri indirebilir&C sunucusu, belgeleri ve postayı aç, ve güvenliği ihlal edilmiş bir sistemden diğer verileri çalmak.
Başka seçenek, Yerel Tarayıcı olarak adlandırılan, genellikle tarayıcıyı Internet Explorer'da OLE otomasyonunu kullanarak başlatır. Bu özellik geliştirme aşamasındadır ve Google Chrome'dan şifreleri çalmak için tasarlanmıştır., Mozilla Firefox, Opera ve Internet Explorer.
şunu da yazdığımı hatırlatayım Araştırmacılar, TrickBot geliştiricilerini Diavol fidye yazılımıyla ilişkilendirdi.