Банковский троянец TrickBot, нацеленный на машины Windows

Опубликовано: 2019-01-17

Люди во всем мире находятся под постоянной угрозой различных вредоносных программ, предназначенных для получения незаконной прибыли или кражи личных данных. Но есть конкретно один тип, который ненавидят больше всего; это банковские трояны. Снова и снова они появляются в разных формах и эксплуатируют пользователей. Но худший из них, который недавно привлек к себе всеобщее внимание, — это банковский троян TrickBot, нацеленный на компьютеры с Windows. Выяснилось, что этот конкретный троянец успешно заразил Австралию, Азию и Латинскую Америку. Теперь он также пробирается через Аргентину, Перу и Чили, планируя заразить миллионы машин. Вы можете определить степень их печальной известности и ущерба из того факта, что они смогли отправить более 75000 электронных писем за 25 минут, якобы от Lloyds Bank, Великобритания, в 2017 году.

Троян TrickBot
Источник: — securitynewspaper

Что такое Трикбот?

Это один из самых активных банковских троянов на рынке, обладающий множеством возможностей, включая перенаправление URL-адресов и веб-инъекции. Впервые это было идентифицировано и замечено в октябре 2016 года в Австралии. По оценкам, Trickbot управляется и управляется группой людей с глобальным охватом. Кроме того, они умны, так как они атаковали с помощью различных методов, например, перенаправления в 40% случаев и оставления 60% веб-инъекций. Это модель, которая наблюдается в 40 странах.

Эта вредоносная программа доставляется пользователям через фишинговые электронные письма, но они также начали изучать другие методы распространения, такие как поддельные веб-сайты. В таких случаях они в основном работают через веб-инъекции.

Трикбот
Источник: — трендмикро

Веб-инъекции

Веб-браузер заражен вредоносным ПО, которое проверяет каждый веб-сайт, который вы посещаете. Все остается неизменным, пока вы не посетите веб-сайт банка. Основная цель злоумышленников — фишинг пользователей через банковские веб-сайты, где, как только пользователь посещает любой из банковских веб-сайтов, через сеть перехватывается код для кражи личной информации и введенных учетных данных.

Что еще больше беспокоит в веб-инъекциях, так это то, что вы ничего не можете сказать, просто взглянув на веб-сайты, потому что заражен не веб-сайт, а веб-браузер. В этом случае, как мы можем определить ненормальную активность? Ну, никто не может этого сделать, если они не перейдут к исходному коду банковской страницы.

Если ваш браузер не заражен, кодов будет относительно меньше, а если заражен, то вы увидите в нем какие-то странные новые функции. Иногда дополнительные функции или набор кодов имеют комментарии, которые сообщают нам об их функциональности, т. е. о краже учетных данных и информировании хакеров об этом.

URL-адрес перенаправления

Банковский троянец TrickBot

Хотя есть случаи, когда использовалось перенаправление URL-адресов, но эта практика становится редкостью. Причина заключается в том, что любое перенаправление можно идентифицировать. Опять же, хакеры могут создавать только похожие и неточные URL-адреса для перенаправления человека во время просмотра из-за правил регистрации доменных имен. И это можно заметить, если кто-то обращает внимание на URL-адреса.

Что делает Трикбот?

Сообщается, что вредоносное ПО имеет множество вредоносных возможностей, включая:

  • Инициировать связь между зараженными устройствами и командным сервером.
  • Украсть конфиденциальную информацию, такую ​​как учетные данные банка, личную информацию и т. д., используя сеансы просмотра веб-страниц.
  • Соберите подробную информацию о затронутых машинах и сетях.
  • Скомпрометируйте пароли учетных записей, сохраненные в Интернете, проанализируйте файлы cookie и историю веб-поиска.
  • Расширить охват, заразив другие машины в зараженной сети.
  • Настройте дополнительные инструменты для вредоносных целей, такие как клиенты VNC, средство удаленного доступа или программы-вымогатели.

Как работает троян Trickbot?

Троян TrickBot
Источник: - socprime

Читайте также: Emotet Trojan — банковский троянец, эволюционировавший опасно

После развертывания банковский троян TrickBot дублирует себя в%APPDATA% и удаляет исходный образец.

Кроме того, он добавляет два файла с именами client_id и group_tag. Они создаются локально и используются для обнаружения отдельного бота и операции, с которой он связан. Эти файлы не зашифрованы и содержат текст в Юникоде.

client_id : включает имя зараженной машины, версию ОС и случайно сгенерированную строку.

Папка содержит файл с именем config.conf. Он загружается через сервер Command & Control (C&C) и кодируется.

Примечание . C&C или C2 используются кибер-злоумышленниками для управления связью с зараженными машинами в зараженной сети.

Папка, известная как Modules, создается в %APPDATA%. Другими файлами, загружаемыми через C&C, являются injectDll32 и systeminfo32.

injectDll32 — это банковский модуль, который внедряет библиотеки DLL в целевые браузеры, чтобы инициировать кражу учетных данных.

systeminfo32 — используется для сбора общей информации о системе

Эти файлы также закодированы. Более того, список целевых браузеров жестко запрограммирован внутри injectDll32.dll. TrickBot делает это эффективным, накапливая себя как задачу в планировщике задач Windows. Задача называется просто «Бот», и никаких попыток скрыть эту задачу не предпринимается. Однако, если вы попытаетесь завершить задачу, механизм планировщика заданий автоматически перезапустит ее.

Сетевое общение

Вредоносная программа TrickBot взаимодействует с разными серверами. Сначала он связывается с действительным сервером, чтобы получить видимый IP-адрес. Удивительно, но он использует свой собственный пользовательский агент, т.е. TrickLoader или BotLoader, и не пытается маскироваться под подлинный браузер. Но большая часть связи TrickBot с Центром управления и контроля зашифрована по протоколу SSL.

client_id и group_id используются в URL-адресе запроса POST, за которым следует идентификатор команды. Это было характерно для вредоносного ПО Dyreza. Далее загружается дополнительная полезная нагрузка без шифрования сетевого трафика. C&C устанавливаются на скомпрометированные беспроводные маршрутизаторы, например MikroTik. Это еще одна общая черта Dyreza и TrickBot. Еще одна странность TrickBot заключается в том, что он даже не пытается копировать выглядящие подлинными имена для сертификатов HTTP. Они включают полностью случайные данные. Например: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Симптомы того, что ваша система затронута

Пользователи конечной точки не увидят никаких изменений, но администратор сети увидит. Симптом изменится в трафике или усилиях по доступу к запрещенным URL-адресам и IP-адресам, занесенным в черный список. Это происходит потому, что вредоносное ПО пытается передать данные хакерам. Он пытается отозвать данные и получить задания от сервера управления и управления (C&C).

последствия

Поскольку этот троянец использует уязвимость EternalBlue, он сосредоточится на воздействии на всю сеть, а не только на машину. Это означает, что если ваша сеть затронута, выхода нет. Вы можете очистить конкретную машину, но не всю сеть. В определенной степени изоляция зараженных машин и работа по удалению этого троянца могут быть эффективными.

Вот несколько шагов, которые вы можете выполнить, если сетевые машины затронуты: –

  1. Обнаружение зараженных машин.
  2. Изолируйте их от сети.
  3. Используйте патч для EternalBlue.
  4. Ограничить административные ресурсы.
  5. Блокировать вложения с различными расширениями файлов, такими как:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Удалите банковский троянец TrickBot.
  2. Изменить учетные данные.

Рекомендуем прочитать : Новый банковский троянец IcedID

Окончательный вердикт

Этот очень опасен не только из-за своей агрессивности, но и из-за своей постоянной эволюции. Операторы этого банковского троянца также начали нацеливаться на пользователей электронной почты Outlook, данных просмотра и даже криптовалют. Нам нужно срочно придумать защитный механизм, если мы не хотим, чтобы наши кошельки и счета опустели!