بدافزار TrickBot در شیوه جدیدش برای انتشار از ایمیلهای مخرب استفاده میکند.
منبع : مرکز مدیریت راهبردی افتا
بدافزار TrickBot در شیوه جدیدش برای انتشار از ایمیلهای مخرب استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آزمایشگاه FortiGuard به تازگی ایمیلی را بررسی کرده که با شیوهای جدید در حال انتشار بدافزار TrickBot است. TrickBot نوعی بدافزار بارگذاریکننده است که میتواند سایر مولفههای مخرب را دانلود و اجرا کند.
ایمیلهای مخرب در موضوعاتی مانند تراکنشهای مالی و فاکتورهای خرید ارسال میشوند. کاربر قربانی وادار میشود تا برای دانلود فایل تراکنش مالی روی یک لینک مخرب کلیک کند که این لینک یک فایل Zip مخرب، حاوی بدافزار، دانلود میکند.
آدرسی که فایل Zip از آن دانلود میشود یک دامنه عادی است که بهنظر میرسد مورد نفوذ مهاجمان قرار گرفتهباشد. درون فایل Zip یک فایل VBS قرار دارد که نمونه آن در تصویر زیر قابل مشاهده است: در صورتی که قربانی فایل VBS را اجرا کند، یک فایل exe در رایانه وی بارگذاری و سپس به a.exe تغییر نام دادهمیشود. این فایل یک نمونه بدافزار TrickBot است که در بخش Task Scheduler سیستم قربانی نصب میشود. بدافزار سپس در پوشه %AppData% به gpuDriver تغییر نام میدهد: در ادامه بدافزار اطلاعات سیستم را برای سرور فرمان و کنترل (C&C) ارسال میکند تا مولفههای مخرب دیگر را انتقال دهد.