تروجان بانکی TrickBot با تروجان قدیمی Dyre مرتبط است

۵محققان امنیتی Fidelis Cybersecurity این نظریه را دارند که تروجان بانکی تازه کشف‌شده در سپتامبر ۲۰۱۶ ممکن است با تروجان بانکی قدیمی Dyre مرتبط باشد.

محققان Fidelis این تروجان جدید را در سپتامبر ۲۰۱۶ کشف کرده و آن را TrickBot نام‌گذاری کرده‌اند و از آن موقع این تروجان به دلیل شباهت‌هایی که با تروجان Dyre دارد، توجه‌ها را به خود جلب کرده است.
عملیات تروجان Dyre پس از اینکه مقامات روسی در نوامبر ۲۰۱۵ به مقرّ این شرکت در روسیه حمله کردند، کاملا متوقف شد. در حالی‌که همه‌ی پویش‌ها ناگهان از کار نیفتادند، تعداد پیام‌های هرزنامه‌ای که تروجان Dyre را توزیع می‌کردند، به شدت کاهش یافت و این کاهش تا ژانویه‌ی قبل ادامه داشت.

تروجان TrickBot، روش‌های تروجان Dyre را قرض گرفته است
براساس گزارش محققان Fidelis، سرنخ‌ها و شباهت‌های کافی وجود دارد تا این نظریه را تائید کند که عاملان تروجان Dyre با نام و تروجان جدید با همان شیوه کار و کد برگشته‌اند.
قبل از TrickBot، گروه Dridex نیز روش‌های ویژه‌ی Dyre را امتحان کرده بود بنابراین در صحنه‌ی بدافزارها چیز جدیدی وجود ندارد و آن‌ها از روش‌ها و کدهای مشترکی استفاده می‌کنند.

اولین و مهم‌ترین چیزی که محققان Fidelis می‌گویند این است که ماژول TrickLoader از این تروجان که قربانی را آلوده می‌کند، بسیار مشابه با بارگیری‌کننده‌ی Dyre است. جیسون ریویز۱ محقق تهدیدات در Fidelis می‌گوید: «با نگاه اول به بارگیری‌کننده‌ی این تروجان با نام TrickLoader، برخی شباهت‌های قابل‌توجه بین این ماژول و بارگیری‌کننده‌ی Dyre وجود دارد. این شباهت برای زمانی است که هنوز این بات کدگشایی نشده اما با این حال، شباهت‌ها حیرت‌آور است.»
با وجود همه‌ی این‌ها، شواهد کافی وجود ندارد که بگوییم تروجان TrickBot همان Dyre است و یا حتی یک رونوشت از آن است.

TrickBot رونوشت مستقیمی از Dyre نیست اما چیزی بیش از یک ارتقاء است
ریویز همچنین می‌گوید که چندین اختلاف وجود دارد. یکی از بدیهی‌ترین اختلاف‌ها در سبک کد زدن است و واضع است که این کدها توسط گروه توسعه‌دهنده‌ی دیگری زده شده است. تروجان TrickBot غالباً با سی++ نوشته شده در حالی‌که زبان غالب در تروجان Dyre، سی است.
دومین اختلاف این است که TrickBot از TaskScheduler و COM برای ماندگاری در سامانه‌ی قربانی استفاده می‌کند در حالی‌که Dyre قدیمی، دستورات را مستقیماً بر روی سامانه‌ی قربانی اجرا می‌کند.
و سوم اینکه TrickBot از API رمزنگاری مایکروسافت برای عملیات رمزنگاری استفاده می‌کند برخلاف Dyre که از تابع درهم‌سازی SHA۲۵۶ و الگوریتم رمزنگاری AES استفاده می‌کند.

تمامی این تغییرات اشاره به این دارد که فردی در نسخه‌ی قدیمی تروجان Dyre تغییرات اساسی ایجاد کرده است. همان‌طور که Fidelis توضیح می‌دهد، شواهد کافی وجود دارد که اثبات کند این دو تروجان به هم مرتبط هستند و همچنین شواهدی مبنی بر این نیز وجود دارد که فردی وقت زیادی را صرف کرده تا کدهای جدیدی را اضافه کند.
Fidelis می‌گوید TrickBot در حال حاضر فعال است و بانک‌های استرالیا را با روش تزریق به وب۲ هدف قرار داده است. در حالی‌که تروجان بانکی Dyre با روش حملات تغییر مسیر۳ شناخته می‌شود و این روش به کار رفته توسط TrickBot روش Dyre نیست.

۱. Jason Reaves
۲. webinject
۳. redirection attacks

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.