در نسخه ی جدیدی از تروجان بانکی TrickBot ماژول جدیدی اضافه شده که می تواند رایانه ی قربانی را برای اهداف باج خواهی قفل کند. گفته می شود بدافزار TrickBot که در اواخر سال ۲۰۱۶ میلادی مشاهده شد، کار مجرمان سایبری است که پشت تروجان مخرب Dyre نیز هستند. این تروجان بانکی تاکنون به روزرسانی های متعددی را دریافت کرده است که نه تنها قابلیت های آن را گسترش داده، بلکه فهرست اهداف آن نیز زیاد شده است.
سال گذشته، این بدافزار بهروزرسانی را دریافت کرد که ویژگیهای کرم مانند را به آن اضافه کرد، به طوری که میتوان آن را بهصورت محلی از طریق پروتکل (SMB) گسترش داد. محققان اعلام کردند که این بدافزار بهمنظور گسترش در شبکههای آسیبدیده، بهرهبرداریهای متعلق به آژانس امنیت ملی را که سال گذشته توسط گروه نفوذ کارگزاران سایه منتشر شد، بهکار میگیرد.
نسخهی جدید تروجان TrickBot خود را در دایرکتوری %APPDATA%\TeamViewer\ نصب میکند و هنگام اجرا شدن، یک پوشهی «Modules» برای ذخیرهی افزونههای رمزنگاریشده ایجاد میکند. در ادامه نیز ماژولها و فایلهای پیکربندی را اجرا میکند.
در حالی که بسیاری از ماژولها قبلا مستند شدهاند، نسخهی جدید این تروجان همچنین شامل یک ماژول داخلی به نام spreader_x86.dll است که محققان قبلا آن را مشاهده نکرده است. این بدافزار همچنین دارای دو فایل اضافی است که حاوی یک فایل اجرایی به نام SsExecutor_x86.exe و یک ماژول اضافی به نام screenLocker_x86.dll است. محققان امنیتی کشف کردهاند که Spreader_x86.dll برای گسترش بدافزار از طریق یک شبکهی آلوده با بهرهبرداریهای متعلق به آژانس امنیت ملی آمریکا طراحی شده است.
فایل SsExecutor_x86.exe نیز بخشی از ماژول جدید است که بهمنظور اجرا پس از بهرهبرداری و برای دستیابی به پایداری با دستکاری رجیستری سیستم و برای اضافه کردن یک لینک به فایل باینری بدافزار در مسیر راهاندازی مجدد هر حساب کاربری طراحی شده است. تروجان بانکی TrickBot باید قابلیت قفل کردن سیستم قربانی را بهدست آورد چرا که توسعهدهندگان آن تصمیم گرفتهاند مدل کسبوکار خود را به مشابه آنچه که توسط اپراتورهای باجافزارها بهکار میگیرند، تغییر دهند.
قفل کردن رایانه قربانی قبل از سرقت گواهینامههای بانکی قربانی میتواند از سرقت کارت اعتباری یا بانکی جلوگیری کند، که نشان میدهد مجرمان سایبری میتوانند قربانیان را به باز کردن قفل رایانههای خود مجبور کنند. محققان امنیتی معتقدند که در شبکههای شرکتی، که بعید بهنظر میرسد کاربران بهطور منظم از URL های بانکی هدف بازدید کنند، سرقت گواهینامههای بانکی توسط TrickBot دشوار است. بنابراین، قفل کردن صدها دستگاه میتواند مدلِ پولساز موفقتری باشد.
