تروجان بانکی TrickBot مجهزتر می‌شود

۱تروجان بانکی TrickBot، که بیشترین شباهت را با Dyre دارد، یک فهرست بلندبالا از اهداف و نیز رو‌ش‌های دست‌کاری مرورگر را دارا می‌باشد.
محققان انتظار دارند که میزان آلودگی ناشی از این بدافزار و نیز حملات وابسته به آن تشدید شده باشد و کسب و کار و حساب‌های کاربری شرکت‌ها به هدف نخست آن مبدل شده باشند.
TrickBot به سرعت و ظرف مدت سه ماه و در طول مرحله‌ی آزمون و توسعه‌‌ی خود به رشد و نمو رسید. این تروجان بانکی همچنین دو روش فوق پیشرفته‌ی ویرایش مرورگر را که در سال‌های گذشته در سایر بدافزارهای بانکی نیز رؤیت شده، در خود تعبیه کرده است.
TrickBot دارای ارتباط نزدیکی با بدافزار بانکی Dyre است؛ بسیاری از ویژگی‌ها و کدهای زیرساختی این دو تروجان با یک‌دیگر مشترک است. به نظر می‌رسد TrickBot با حملات ابتدایی علیه بانک‌های استرالیا بی‌ارتباط نباشد، در این حملات نیز مانند کد بدافزار Dyre چند مورد تزریق کد مشاهده شده است؛ البته عوامل پشت پرده‌ی بدافزار Dyre در حال حاضر در زندان روسیه به سر می‌برند.
کارشناسان می‌گویند TrickBot قابلیت‌های تازه‌ای را به کار گرفته و اهداف تازه‌ای را پیدا کرده است، از جمله‌ی این اهداف می‌توان به وب‌گاه‌های بانکی تجاری مؤسسات مالی در انگلستان، استرالیا، نیوزلند، کانادا، و آلمان اشاره کرد. نفوذگران دست‌اندرکار TrickBot در وهله‌ی اول روی حملات تغییر مسیر و نیز تزریق کد سمت کارگزار به تعداد انگشت‌شماری از بانک‌ها تمرکز کرده‌اند، اما گزارش ماه نوامبر IBM باعث شد تا فوت و فن این بدافزار عوض شود.
دامنه‌ی عمل‌کرد TrickBot یک‌شبه دگرگون شد، متصدیان این تروجان دو پیکربندی تازه را در اوایل ماه نوامبر برای TrickBot پیاده‌سازی کردند؛ این تحول چیزی بیش از اضافه کردن URL به پیکربندی این بدافزار بود؛ روشی که علیه بانک‌های انگلستان به کار گرفته شد تا حملات تغییر مسیر سفارشی در آن‌ها صورت بگیرد، این شیوه در حقیقت پیشرفته‌ترین روش برای دست‌کاری چیزی است که کاربر در مرورگر مشاهده می‌کند.
محققان می‌گویند براساس بررسی‌های صورت‌گرفته روی TrickBot و سرعت توسعه‌ی آن می‌توان گفت، مجرمان متصدی آن با دقت هرچه تمام‌تر تغییر مسیرها را به منظور ارائه‌ در کمپین‌های این تروجان، و نیز خرید آسان آن‌ها از باندهای مخرب دیگر از پیش در نظر گرفته‌اند. این تروجان برخلاف Dyre از نظر راه‌اندازی تبلیغات مخرب به کمک بسته‌ی نفوذی RIG، ضمیمه‌های مخرب رایانامه‌ها، و نیز ماکروهای آلوده‌ی آفیس که از طریق «بارکننده‌ی Godzilla» ارائه می‌شود، تقویت شده است. این ویژگی‌ها نشان می‌دهد که گروه پشتیبان TrickBot به دنبال حساب‌های تجاری خاصی است. این گروه هرزنامه‌های مملو از بدافزار را به کمپین‌ها می‌فرستد و به موج رایانامه‌های بی‌دردسر اکتفا نمی‌کند. ظاهراً TrickBot از تحول دست برنمی‌دارد. روش‌های آلوده‌سازی این تروجان در هر زمانی متفاوت است. به نظر می‌رسد که تکامل پیوسته‌ی TrickBot به این واقعیت ربط داشته باشد که عوامل مخرب پشت پرده‌ی آن در شبکه‌ی توزیع‌کننده‌ی بدافزار و بات‌نت دیگری نیز فعالیت دارند.
نمونه‌ای از TrickBot که مورد تحلیل واقع شده دربرگیرنده‌ی یک بارکننده‌ی سفارشی به نام TrickLoader است، از این بارکننده در ربات هرزنامه‌ی Cutwail هم استفاده شده بود، به گفته‌ی پژوهش‌گران این بارکننده نیز مشابه همان موردی است که باند Dyre در کمپین هرزنامه‌ی خود استفاده می‌کردند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter