استفاده از تکنیک‌های تزریق کد مخفیانه
تروجان Trickbot در حال تکامل است
کد مطلب: 14401
تاریخ انتشار : دوشنبه ۲۹ مرداد ۱۳۹۷ ساعت ۱۷:۰۰
 
تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعال‌سازی ابزارهای امنیتی است.
تروجان Trickbot در حال تکامل است
 
 
Share/Save/Bookmark
تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعال‌سازی ابزارهای امنیتی است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی اخیرا ویرایش جدیدی از تروجان بانکی Trickbot را که از سال ۲۰۱۶ در حال فعالیت است، کشف کرده‌اند. این نسخه از تکنیک‌های تزریق کد مخفیانه‌ای استفاده می‌کند.

تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعال‌سازی ابزارهای امنیتی است. این بدافزار از تکنیک‌های ضدتحلیل نیز بهره‌مند است. برای جلوگیری از تحلیل، این تروجان از تکنیک‌های مختلف و ساده‌ای مانند توقف فعالیت برای مدت‌زمان کوتاه یا طولانی و فراخوانی توابع بی‌استفاده بهره می‌برد. برای جلوگیری از شناسایی نیز Trickbot، سرویس Windows Defender را غیرفعال و حذف می‌کند.

بدافزار Trickbot از اوایل سال ۲۰۱۶ به عنوان یک تروجان man in the browser مطرح شد که دارای ماژول‌هایی برای سرقت اطلاعات از مرورگر و Outlook، قفل رایانه قربانی، جمع‌آوری اطلاعات شبکه و سیستم و سرقت اطلاعات احراز هویت دامنه‌هاست. این تروجان سیستم‌های قربانی را برای فعالیت‌های مخرب دیگری مانند کاوش ارز دیجیتالی نیز مورد هدف قرار می‌دهد.

آخرین ویرایش Trickbot از طریق ایمیل‌های اسپم در حال گسترش است و از اسناد Word حاوی کد ماکرو مخرب استفاده می‌کند. پژوهشگران Cyberbit برای اولین حملات ویرایش جدید این تروجان را در ماه گذشته و در کشورهای آمریکا و اسپانیا مشاهده کردند. کد ماکرو مخرب جاسازی شده در اسناد مبهم‌سازی شده‌اند و پس از اجرا یک اسکریپت PowerShell را اجرا می‌کنند که این اسکریپت Trickbot را دانلود و اجرا می‌کنند.

همچنین پژوهشگران شباهت‌هایی را بین Trickbot و Flokibot یافتند. Flokibot تروجانی است که یک در پشتی را باز می‌کند، اطلاعات را به سرقت می‌برد و فایل‌های مخربی را در سیستم هدف بارگذاری می‌کند. یکی از شباهت‌های بین این دو تروجان استفاده از الگوریتم CRC32 در هش کردن اسم توابع است.

در ماه‌های گذشته Trickbot به‌صورت پیوسته در حال تکامل بوده‌است و در ماه‌های جولای و می، گزارش‌هایی مبنی بر تکامل این تروجان از طرف IBM و Flashpoint منتشر شده‌بود.
مرجع : مرکز مدیریت راهبردی افتا