Kötü şöhretli TrickBot kötü amaçlı yazılımı, operatörleri botnet’i yeni anti-analiz özellikleriyle güncellemiş olsa bile, başta ABD’de yerleşik kripto para birimi firmaları da dahil olmak üzere 60 finans ve teknoloji şirketinin müşterilerini hedefliyor.
Check Point araştırmacıları Aliaksandr Trafimchuk ve Raman Ladutska, “TrickBot, talep üzerine indirilebilen ve çalıştırılabilen 20’den fazla modüle sahip gelişmiş ve çok yönlü bir kötü amaçlı yazılımdır.” söz konusu bugün yayınlanan bir raporda
Hem yaygın hem de kalıcı olmanın yanı sıra, TrickBot, güvenlik ve algılama katmanlarını aşmak için taktiklerini sürekli olarak geliştirdi. Bu amaçla, kötü amaçlı yazılımın bankacılık ve kimlik bilgilerinin çalınmasından sorumlu olan “injectDll” web-injects modülü, web sayfasını çökertmek ve kaynak kodunu inceleme girişimlerini engellemek için gizlemeyi önleme tekniklerinden yararlanır.
Ayrıca, güvenlik araştırmacılarının yeni web enjeksiyonlarını almak için komut ve kontrol (C2) sunucularına otomatik istekler göndermesini önlemek için anti-analiz korkulukları da yerleştirildi.
TrickBot’un önemli güçlü yönlerinden bir diğeri, kullanıcıların kimlik bilgilerini çalmak ve kötü amaçlı yazılımı EternalRomance istismarını kullanarak SMBv1 ağ paylaşımı yoluyla yaymak için “tabDLL” modülünü kullanarak elde ettiği kendini yayma yeteneğidir.
TrickBot enfeksiyonlarının bir parçası olarak dağıtılan üçüncü önemli modül, web tarayıcılarından ve Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN ve TeamViewer gibi bir dizi başka uygulamadan şifreleri sifonlamak için tasarlanmış bir kimlik bilgisi hırsızı olan “pwgrabc” dir.
Araştırmacılar, “TrickBot, kimlik bilgilerini çalmak için yüksek profilli kurbanlara saldırır ve operatörlerine, daha büyük hasara neden olabilecekleri hassas veriler içeren portallara erişim sağlar,” dedi ve “altyapının arkasındaki operatörler, yüksek düzeyde kötü amaçlı yazılım geliştirme konusunda çok deneyimlidir” dedi. seviye de.”
Bulgular ayrıca TrickBot çetesinin çalışan olarak ifşa edilmesiyle ortaya çıktı. metaprogramlama yöntemleri onun için Bazar kötü amaçlı yazılım ailesi imza tabanlı algılamadan kaçınma nihai hedefi ile kodlarını gizlemek ve tersine mühendisliğe karşı korumak için.
