برنامج TrickBot Banking Trojan-Trojan الذي يستهدف أجهزة Windows

نشرت: 2019-01-17

يتعرض الأشخاص في جميع أنحاء العالم لتهديد مستمر من مختلف البرامج الضارة المصممة لتحقيق أرباح غير مشروعة أو لسرقة البيانات الشخصية. ولكن هناك نوع واحد على وجه التحديد مكروه أكثر من غيره. هم أحصنة طروادة المصرفية. مرارًا وتكرارًا ، يظهرون بأشكال مختلفة ويستغلون المستخدمين. لكن أسوأ ما لفت الأنظار مؤخرًا هو TrickBot Banking Trojan الذي يستهدف أجهزة Windows. لقد تم اكتشاف أن حصان طروادة هذا قد أثر بنجاح على أستراليا وآسيا وأمريكا اللاتينية. الآن تشق طريقها عبر الأرجنتين وبيرو وتشيلي أيضًا ، وتخطط لإصابة ملايين الآلات. يمكنك تحديد شدة شهرتها وأضرارها من حقيقة أنها كانت قادرة على إرسال أكثر من 75000 رسالة بريد إلكتروني في 25 دقيقة تزعم أنها من Lloyds Bank ، المملكة المتحدة ، في عام 2017.

تريكبوت طروادة
المصدر: - جريدة الأمن

ما هو Trickbot؟

يعد هذا أحد أكثر أحصنة طروادة المصرفية نشاطًا في السوق ولديه عدد كبير من الإمكانات بما في ذلك إعادة توجيه عناوين URL وإدخالات الويب. تم تحديد هذا لأول مرة ورُصد في أكتوبر 2016 في أستراليا. تشير التقديرات إلى أن Trickbot يتم تشغيله وإدارته من قبل مجموعة من الأفراد ذوي الانتشار العالمي. كما أنهم أذكياء ، حيث قاموا بالهجوم من خلال تقنيات مختلفة مثل إعادة التوجيه 40٪ من المرات وترك 60٪ لحقن الويب. إنه نمط شوهد في 40 دولة الآن.

يتم تسليم هذه البرامج الضارة إلى المستخدمين عبر رسائل البريد الإلكتروني للتصيد الاحتيالي ، لكنهم بدأوا أيضًا في استكشاف ممارسات أخرى للتوزيع مثل مواقع الويب المزيفة. في مثل هذه الحالات ، تعمل بشكل أساسي عن طريق الحقن عبر الويب.

تريكبوت
المصدر: - Trendmicro

حقن الويب

مستعرض الويب مصاب بالبرامج الضارة ، والتي تحافظ على فحص كل موقع تزوره. يظل كل شيء غير متأثر حتى تقوم بزيارة موقع ويب مصرفي. الهدف الرئيسي للمهاجمين هو خداع المستخدمين من خلال مواقع الويب المصرفية ، حيث بمجرد أن يزور المستخدم أي موقع ويب مصرفي ، يتم اعتراض رمز عبر الشبكة لسرقة المعلومات الشخصية وبيانات الاعتماد التي تم إدخالها.

الأمر الأكثر إزعاجًا في عمليات حقن الويب هو أنه لا يمكنك معرفة أي شيء بمجرد النظر إلى مواقع الويب لأنه ليس موقع الويب مصابًا ولكن متصفح الويب. في هذا السيناريو ، كيف يمكننا التعرف على الأنشطة غير الطبيعية؟ حسنًا ، لا يمكن لأي شخص القيام بذلك ما لم يذهب إلى الكود المصدري لصفحة الخدمات المصرفية.

إذا لم يكن متصفحك مصابًا ، فستكون الرموز أصغر نسبيًا ، أما إذا كانت كذلك ، فسترى بعض الوظائف الغريبة الجديدة فيها. في بعض الأحيان ، تحتوي الوظائف الإضافية أو مجموعة الرموز على تعليقات تتيح لنا معرفة وظائفها ، مثل سرقة بيانات الاعتماد وإبلاغ المتسللين عنها.

إعادة توجيه URL

برنامج TrickBot Banking Trojan

على الرغم من وجود حالات تم فيها استخدام إعادة توجيه URL ، إلا أن هذه الممارسة أصبحت نادرة. السبب وراء ذلك هو حقيقة أن أي إعادة توجيه يمكن التعرف عليها. مرة أخرى ، يمكن للقراصنة فقط إنشاء عناوين URL متشابهة وليست دقيقة لإعادة توجيه شخص أثناء التصفح بسبب قواعد تسجيل أسماء النطاقات. ويمكن ملاحظة ذلك إذا كان شخص ما ينتبه إلى عناوين URL.

ماذا يفعل Trickbot؟

تم الإبلاغ عن احتواء البرامج الضارة على العديد من الإمكانات الضارة التي تشمل: -

  • بدء الاتصال بين الأجهزة المصابة وخادم الأوامر.
  • سرقة المعلومات السرية مثل بيانات اعتماد البنك والمعلومات الشخصية وما إلى ذلك من خلال استغلال جلسات تصفح الويب.
  • اجمع معلومات مفصلة حول الأجهزة والشبكات المتأثرة.
  • اختراق كلمات مرور الحساب التي يتم حفظها عبر الإنترنت ، وفحص ملفات تعريف الارتباط وسجل الويب.
  • قم بتوسيع نطاقه عن طريق إصابة الأجهزة الأخرى الموجودة على الشبكة المصابة.
  • قم بإعداد المزيد من الأدوات للأغراض الضارة مثل عملاء VNC أو أداة الوصول عن بُعد أو برامج الفدية.

كيف يعمل Trickbot Trojan؟

تريكبوت طروادة
المصدر: - socprime

اقرأ أيضًا: Emotet Trojan - حصان طروادة مصرفي تطور بشكل خطير

بمجرد النشر ، يكرر TrickBot Banking Trojan نفسه إلى٪ APPDATA٪ ويزيل العينة الأصلية.

علاوة على ذلك ، فإنه يضيف ملفين يسمى client_id و group_tag يتم إنشاؤهما محليًا واستخدامهما لاكتشاف الروبوت الفردي والعملية المرتبطة به. هذه الملفات غير مشفرة وتحتوي على نص في Unicode.

client_id : يتضمن اسم الجهاز المصاب وإصدار نظام التشغيل وسلسلة تم إنشاؤها عشوائيًا.

يحتوي المجلد على ملف يسمى config.conf. يتم تنزيله عبر خادم الأوامر والتحكم (C&C) ويتم ترميزه.

ملاحظة : يستخدم المهاجمون السيبرانيون C & C أو C2 لإدارة الاتصالات مع الأجهزة المصابة داخل شبكة مصابة.

يتم إنشاء مجلد يُعرف باسم الوحدات النمطية في٪ APPDATA٪. الملفات الأخرى التي تم تنزيلها عبر C&C هي insertDll32 و systeminfo32.

injectionDll32 - هي وحدة بنكية تقوم بحقن ملفات DLL داخل المتصفحات المستهدفة للشروع في سرقة بيانات الاعتماد

systeminfo32 - يتم استخدامه لجمع معلومات النظام العامة

يتم أيضًا ترميز هذه الملفات. علاوة على ذلك ، فإن قائمة المتصفحات المستهدفة تكون مشفرة داخل insertDll32.dll. يعمل TrickBot على جعله فعالاً من خلال تجميع نفسه كمهمة في برنامج جدولة مهام Windows. تسمى المهمة ببساطة "Bot" ولا توجد محاولة لإخفاء هذه المهمة. ومع ذلك ، إذا حاولت إنهاء المهمة ، يقوم محرك جدولة المهام بإعادة تشغيلها تلقائيًا.

شبكة التواصل

تتواصل برامج TrickBot الضارة مع خوادم مختلفة. في البداية ، يتصل بخادم صالح للحصول على IP مرئي. والمثير للدهشة أنه يستهلك وكيل المستخدم الخاص به مثل TrickLoader أو BotLoader ولا يحاول إخفاء نفسه كمتصفح أصيل. لكن معظم اتصالات TrickBot مع مركز القيادة والتحكم مشفرة بطبقة المقابس الآمنة.

يتم استخدام client_id و group_id في عنوان URL لطلب POST متبوعًا بمعرف الأمر. كانت هذه سمة لوحظت في برنامج Dyreza الضار. علاوة على ذلك ، يتم تحميل حمولة إضافية دون تشفير حركة مرور الشبكة. يتم تثبيت C & C على أجهزة التوجيه اللاسلكية المخترقة ، مثل MikroTik. هذه ميزة أخرى شائعة بين Dyreza و TrickBot. شيء غريب آخر في TrickBot هو أنه لا يحاول حتى نسخ أسماء ذات مظهر أصيل لشهادات HTTPs. أنها تشمل بيانات عشوائية تماما. على سبيل المثال: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

الأعراض التي يتأثر بها نظامك

لن يرى مستخدمو نقطة النهاية أي تغييرات ، لكن مسؤول الشبكة سيفعل ذلك. ستتغير الأعراض في حركة المرور أو الجهود المبذولة للوصول إلى عناوين URL المقيدة وعناوين IP المدرجة في القائمة السوداء. يحدث هذا لأن البرامج الضارة تحاول إعادة توجيه البيانات إلى المتسللين. يحاول سحب البيانات وتلقي المهام من خادم التحكم والأوامر (C&C).

ما بعد الكارثة

نظرًا لأن حصان طروادة هذا يستخدم ثغرة EternalBlue ، فسوف يركز على التأثير على الشبكة بالكامل وليس على الجهاز فقط. هذا يعني أنه بمجرد أن تتأثر شبكتك ، لا يوجد مخرج. يمكنك تنظيف جهاز معين ولكن ليس الشبكة بالكامل. قد يكون عزل الأجهزة المصابة والعمل على إزالة حصان طروادة فعالًا إلى حد ما.

فيما يلي بعض الخطوات التي يمكنك اتباعها في حالة تأثر أجهزة الشبكة: -

  1. كشف الجهاز (الآلات) المصابة.
  2. اعزلهم عن الشبكة.
  3. استخدم التصحيح من أجل EternalBlue.
  4. تقييد المشاركات الإدارية.
  5. حظر المرفقات ذات امتدادات الملفات المختلفة مثل:

إكس | pif | tmp | urlpst | cmd | com | hta | js | wsf | vb | vbe | scr | reg | cer | bat | dll | dat | hlp |

  1. قم بإزالة برنامج TrickBot Banking Trojan.
  2. تغيير بيانات اعتماد الحساب.

يجب أن تقرأ: IcedID New Banking Trojan

الحكم النهائي

هذا خطير للغاية ليس فقط بسبب عدوانيته ولكن أيضًا بسبب تطوره المستمر. بدأ مشغلو حصان طروادة المصرفي هذا أيضًا في استهداف المستخدمين على رسائل البريد الإلكتروني في Outlook وبيانات التصفح وحتى العملات المشفرة. نحتاج إلى ابتكار آلية دفاع قريبًا إذا لم نرغب في رؤية محافظنا وحساباتنا فارغة!