ΑρχικήsecurityTrickbot Trojan : Η νέα έκδοση του περιλαμβάνει και screenlocker

Trickbot Trojan : Η νέα έκδοση του περιλαμβάνει και screenlocker

Η πιο πρόσφατη έκδοση του Trickbot banking Trojan παρέχει την δυνατότητα στους κακόβουλους χρήστες να κλειδώσουν την οθόνη του υπολογιστή που στοχεύουν.Trickbot

 

Το screenlocker είναι μέρος ενός μηχανισμού πολλών αρχείων που φέρνει το TrickBot στους υπολογιστές των θυμάτων.

Το TrickBot, αν και είναι γνωστό ότι αποτελεί κυρίως τραπεζικό trojan, έχει εξελιχθεί τα τελευταία χρόνια και σε malware dropper. Οι χειριστές τους Trickbot μολύνουν τους υπολογιστές με ένα κακόβουλο λογισμικό το οποίο εξειδικεύεται στη λήψη διαφόρων πρόσθετων για το TrickBot. Οι προηγούμενες γνωστές παραλλαγές του περιλαμβάνουν το αρχικό banking trojan, λειτουργία αποστολής ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου και ένα worm virus το οποίο εξαπλώνετε μέσω του πρωτοκόλλου SMB, σε διάφορα δίκτυα.

Στις 15 Μαρτίου, το αρχικό dropper ξεκίνησε τη λήψη ενός αρχείου με όνομα tabDll32.dll (ή tabDll64.dll) που με τη σειρά του κατέβασε άλλα τρία άλλα αρχεία που ονομάστηκαν:

 

Spreader_x86.dll – Αρχείο που προσπαθεί να εξαπλωθεί σε άλλους υπολογιστές στο ίδιο δίκτυο μέσω SMB, αξιοποιώντας το EternalRomance exploit.

SsExecutor_x86.exe – Αποκτάει αυτόματη εκκίνηση κάθε φορά που ξεκινάει ο υπολογιστής.

ScreenLocker_x86.dll – Η νέα λειτουργία του TrickBot που κλειδώνει την οθόνη του μολυσμένου υπολογιστή. Δεν κρυπτογραφεί αρχεία.

Αυτό που ξεχωρίζει είναι το γεγονός ότι το TrickBot είχε ήδη ένα SMB worm από το καλοκαίρι του 2017, \ που ονομάζεται wormDll32.dll προκειμένου να εξαπλωθεί, κάτι το όποιο κάνει τους ερευνητές ασφάλειας να πιστεύουν πως τα 3 αυτά αρχεία είναι μια εντελώς αυτόνομη και ξεχωριστή διαδικασία. Συγκεκριμένα φαίνεται να έχουν σχεδιαστεί για να συνεργάζονται και να εκτελούνται το ένα μετά το άλλο, αγνοώντας το αρχικό worm.

Τα καλά νέα είναι ότι ο κώδικας του screenlocker δεν είναι ακόμα πλήρως λειτουργικός και φαίνεται να βρίσκεται ακόμη υπό κατασκευή και ούτε συναντάμε κάποιο encryption για να θεωρηθεί ransomware,ωστόσο ο Jason Davidson από την εταιρεία Webroot εκφράζει την ανησυχία του λέγοντάς” Αν οι προγραμματιστές του TrickBot ολοκληρώσουν αυτή τη λειτουργία του screenlock, αυτό θα δημιουργήσει μεγάλο πρόβλημα καθώς φαίνεται πως ο κύριος στόχος του θα είναι ευπαθή εταιρικά δίκτυα”.

 

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS