یک ماژول جدید از تروجان بانکی TrickBot بهتازگی کشف شده است که به مهاجمان اجازه میدهد تا از سیستمهای آسیبدیده برای راهاندازی حملات کورکورانه علیه سیستمهای ویندوزی انتخابشده که یک اتصال Remote Desktop Protocol (RDP) اجرا میکنند، استفاده کنند. این ماژول با نام rdpScanDll در ۳۰ ژانویه کشف شد و گفته میشود که هنوز در حال توسعه است. بهگفتهی پژوهشگران، ماژول rdpScanDll تاکنون تلاش کرده است تا ۶٬۰۱۳ سرور RDP متعلق به سازمانها در بخشهای مخابراتی، آموزشی و مالی در امریکا و هنگکنگ را هدف قرار دهد.
نویسندگان بدافزاری که در پشت صحنهی TrickBot هستند، در انتشار ماژولها و نسخههای جدید این تروجان برای گسترش و تصحیح قابلیتهای آن تخصص دارند. پژوهشگران بیان کردند که انعطافپذیری این معماری ماژولار، TrickBotرا به یک بدافزار بسیار پیچیده و پیشرفته تبدیل کرده است که تا زمانی که افزونهای برای آن وجود داشته باشد، قادر به انجام طیف وسیعی از فعالیتهای مخرب است.
هنگامی که TrickBot اجرای خود را آغاز میکند، یک پوشه حاوی بار دادهی مخرب رمزنگاریشده و فایلهای پیکربندی مربوطه ایجاد میکند که شامل فهرستی از سرورهای فرمان و کنترل است که افزونه برای اجرای دستورات نیاز به برقراری ارتباط با آنها دارد. بهگفتهی پژوهشگران بیتدیفندر، افزونهی rdpScanDll فایل پیکربندی خود را با ماژول دیگری به نام vncDll به اشتراک میگذارد و از یک قالب استاندارد آدرس اینترنتی مانند https://C&C/tag/computerID/controlEndpoint برای ارتباط با سرورهای C2 جدید استفاده میکند.
در این آدرس اینترنتی، C&C به سرور C2 و tag به تگ گروه استفادهشده توسط نمونهی TrickBot و computerID به شناسهی رایانهی استفادهشده توسط این بدافزار و controlEndpoint به فهرستی از حالتهای حمله (check، trybrute و brute) و فهرستی از ترکیبات شماره درگاه آدرس آیپی که از طریق حملهی کورکورانهی RDP هدف قرار میگیرد، اشاره دارد. حالت Check یک اتصال RDP را از فهرست اهداف بررسی میکند، درحالیکه حالت trybrute تلاش میکند با استفاده از یک فهرست از پیش تعیینشده از نامهای کاربری و گذرواژههای به دست آمده از نقاط انتهایی /rdp/names و /rdp/dict یک عملیات کورکورانه در هدف انتخابشده انجام دهد.
بهگفتهی پژوهشگران حالت brute هنوز در حال توسعه است. این حالت نه تنها شامل مجموعهای از توابع قابل اجرایی است که مورد استفاده قرار نمیگیرند، بلکه فهرست نام کاربری را نیز واکشی نمیکند و باعث میشود که این افزونه از گذرواژهها و نامهای کاربری تهی برای احرازهویت در فهرست هدف استفاده کند.
هنگامی که فهرست اولیهی آدرسهای آیپی هدف از طریق /rdp/domains جمعآوری شد، این افزونه مجموعهی دیگری از آیپیهای جدید را با استفاده از یک نقطهی انتهایی /rdp/over ثانویه بازیابی میکند. این دو فهرست، هر یک شامل ۴۹ و ۵٬۹۶۴ آدرس آیپی هستند که اهداف مستقر در شرکتهای مخابراتی، آموزشی، مالی و پژوهشی امریکا و هنگکنگ را در بر میگیرد.
علاوهبرآن، گزارش بیتدیفندر جزئیات سازوکار تحویل بهروزرسانی TrickBot را تشریح و کشف کرد که بعد از ماژولهایی که به شناسایی سیستم و شبکه و جمعآوری داده در شش ماه گذشته کمک کردهاند، افزونههای مسئول حرکات جانبی در شبکه بیشترین بهروزرسانیها را دریافت کردهاند. TrickBot در سال ۲۰۱۶ میلادی از طریق پویشهای فیشینگ ایمیل کار خود را بهعنوان یک تروجان بانکی آغاز کرد، اما از آن زمان تحولات بسیاری یافته است.
پویشهایی که TrickBot توزیع میکنند، از نشانهای تجاری شخص ثالث آشنا برای گیرنده، مانند صورتحسابهای شرکتهای حسابداری و مالی استفاده میکنند. این ایمیلها اغلب دارای یک پیوست مانند سند ورد یا اکسل مایکروسافت هستند که هنگام باز شدن کاربر را تشویق میکنند تا ماکروها را فعال کند و درنتیجه یک VBScript برای اجرای یک اسکریپت PowerShell برای بارگیری بدافزار اجرا کند.
TrickBot همچنین توسط سایر بدافزارها بهعنوان بار دادهی ثانویه توزیع میشود که مهمترین آنها پویش هرزنامهی باتنت Emotet است که برای دستیابی به پایداری و جلوگیری از شناسایی، نرمافزار ضدبدافزار ویندوز دیفندر را غیرفعال و حذف میکند. ماژول جدید نشان میدهد که با استفاده از زیرساخت موجود قربانیان TrickBot، ممکن است مهاجمان روی بخشهای غیرمالی مانند مخابراتی و آموزشی و پژوهشی تمرکز کنند.