قابلیت قفل رایانه برای باج‌خواهی به تروجان بانکی TrickBot اضافه شده است

 

در نسخه ی جدیدی از تروجان بانکی TrickBot ماژول جدیدی اضافه شده که می تواند رایانه ی قربانی را برای اهداف باج خواهی قفل کند. گفته می شود بدافزار TrickBot که در اواخر سال ۲۰۱۶ میلادی مشاهده شد، کار مجرمان سایبری است که پشت تروجان مخرب Dyre نیز هستند. این تروجان بانکی تاکنون به روزرسانی های متعددی را دریافت کرده است که نه تنها قابلیت های آن را گسترش داده، بلکه فهرست اهداف آن نیز زیاد شده است.


سال گذشته، این بدافزار به‌روزرسانی را دریافت کرد که ویژگی‌های کرم مانند را به آن اضافه کرد، به طوری که می‌توان آن را به‌صورت محلی از طریق پروتکل (SMB) گسترش داد. محققان اعلام کردند که این بدافزار به‌منظور گسترش در شبکه‌های آسیب‌دیده، بهره‌برداری‌های متعلق به آژانس امنیت ملی را که سال گذشته توسط گروه نفوذ کارگزاران سایه منتشر شد، به‌کار می‌گیرد.


نسخه‌ی جدید تروجان TrickBot خود را در دایرکتوری %APPDATA%\TeamViewer\ نصب می‌کند و هنگام اجرا شدن، یک پوشه‌ی «Modules» برای ذخیره‌ی افزونه‌های رمزنگاری‌شده ایجاد می‌کند. در ادامه نیز ماژول‌ها و فایل‌های پیکربندی را اجرا می‌کند.


در حالی که بسیاری از ماژول‌ها قبلا مستند شده‌اند، نسخه‌ی جدید این تروجان همچنین شامل یک ماژول داخلی به نام spreader_x86.dll است که محققان قبلا آن را مشاهده نکرده است. این بدافزار همچنین دارای دو فایل اضافی است که حاوی یک فایل اجرایی به نام SsExecutor_x86.exe و یک ماژول اضافی به نام screenLocker_x86.dll است. محققان امنیتی کشف کرده‌اند که Spreader_x86.dll برای گسترش بدافزار از طریق یک شبکه‌ی آلوده با بهره‌برداری‌های متعلق به آژانس امنیت ملی آمریکا طراحی شده است.


فایل SsExecutor_x86.exe نیز بخشی از ماژول جدید است که به‌منظور اجرا پس از بهره‌برداری و برای دستیابی به پایداری با دست‌کاری رجیستری سیستم و برای اضافه کردن یک لینک به فایل باینری بدافزار در مسیر راه‌اندازی مجدد هر حساب کاربری طراحی شده است. تروجان بانکی TrickBot باید قابلیت قفل کردن سیستم قربانی را به‌دست آورد چرا که توسعه‌دهندگان آن تصمیم گرفته‌اند مدل کسب‌وکار خود را به مشابه آنچه که توسط اپراتورهای باج‌افزارها به‌کار می‌گیرند، تغییر دهند.


قفل کردن رایانه قربانی قبل از سرقت گواهی‌نامه‌های بانکی قربانی می‌تواند از سرقت کارت اعتباری یا بانکی جلوگیری کند، که نشان می‌دهد مجرمان سایبری می‌توانند قربانیان را به باز کردن قفل رایانه‌های خود مجبور کنند. محققان امنیتی معتقدند که در شبکه‌های شرکتی، که بعید به‌نظر می‌رسد کاربران به‌طور منظم از URL های بانکی هدف بازدید کنند، سرقت گواهی‌نامه‌های بانکی توسط TrickBot دشوار است. بنابراین، قفل کردن صدها دستگاه می‌تواند مدلِ پول‌ساز موفق‌تری باشد.

 

منبع

پست‌های مشابه

Leave a Comment

2 × یک =