С увеличаващия се брой на необезопасени крайни точки по целия свят, свързващи се с преди затворени корпоративни мрежи, броят на киберпрестъпленията по цял свят нараства лавинообразно. И докато специалистите по информационна защита и администраторите се опитват по всякакъв начин да овладеят ситуацията, две неща изглеждат сигурни – въпросните крайни точки само ще се увеличават като брой и ще останат все така рискови и необезопасени, а тези, които ги атакуват само ще увеличават усилията си да ги компрометират, инвестирайки все повече време и ресурси за това. В доказателство на горното идва скорошно откритие на специалист по информационна сигурност, който се е натъкнал на нова, стотна поред версия на една от най-големите киберзаплахи днес – Trickbot.

Trickbot е модерна и сложна, модулна заплаха, обслужвана от умели в техническо отношение лица, която търпи еволюция постоянно – едва в началото на този месец BitDefender алармираха за появата на нова версия на заплахата, а сега на такава се е натъкнал и Витали Кремез от Advanced Intel, за което съобщават Bleeping Computer. Появил се преди четири години като наследник на банковия троянец Dyre, Trickbot наследява много от функционалностите му, но и бива постоянно развиван и обновяван с нови функционалности. Основният начин за разпространението му е чрез масови спам кампании. Веднъж попаднал на системата, той събира информация и успява да краде пароли и записи за вписване в разнообразни услуги, като има вградена функционалност и за автоматично разпространение в локалната мрежа, нанасяйки допълнително вреда. Trickbot обаче често играе ролята на врата за допълнително зловреден код, особено рансъмуер и често такъв от семейството на Ryuk. Освен това, авторите му събират откраднатото от Trickbot и продават чувствителни записи за вписване, което на свой ред се явява допълнителен вектор за атаки над предприятия и бизнеси. По-рано тази есен, Microsoft се похвалиха как са успели да затворят сървърната инфраструктура на Trickbot – похвално усилие, оказало се обаче невярно. За съжаление, заплахата си е все така жизнена, както разбираме от доклада на Кремез и Bleeping.

Новата версия на троянската програма прави засичането ѝ още по-трудно, като тя успява да инжектира своята основна DLL библиотека в легитимния изпълним файл на системата за докладване на грешки в Windows wermgr.exe (Windows Problem Reporting), директно от паметта, използвайки MemoryModule проекта. „MemoryModule представлява библиотека, която може да се използва за зареждане на DLL изцяло от паметта – без да се съхранява първо на диска“, обяснява GitHub страницата на проекта. По този начин, стартирал първоначално като изпълним файл, Trickbot се инжектира в wermgr.exe, след което изтрива оригиналния си изпълним файл, обяснява Лорънс Амбрамс от Bleeping. Така, Trickbot успява да се прикрие успешно като споменатият легитимен процес и остава невидим за антивирусния софтуер на системата.

„Както може да се види, бандата зад Trickbot не е позволила нарушаването на тяхната инфраструктура да ги спре и продължават да интегрират нови характеристики, за да предотвратят засичането на зловредната програма“, пише Абрамс. „За съжаление това означава, че Trickbot ще си остане тук и в обозримото бъдеще и потребителите и бизнесите трябва да останат съобразителни и да внимават какви приложени файлове в електронни писма отварят“.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари