پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
بدافزار TrickBot در شیوه جدیدش برای انتشار از ایمیل‌های مخرب استفاده می‌کند.
منبع : مرکز مدیریت راهبردی افتا
بدافزار TrickBot در شیوه جدیدش برای انتشار از ایمیل‌های مخرب استفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آزمایشگاه FortiGuard به تازگی ایمیلی را بررسی کرده که با شیوه‌ای جدید در حال انتشار بدافزار TrickBot است. TrickBot نوعی بدافزار بارگذاری‌کننده است که می‌تواند سایر مولفه‌های مخرب را دانلود و اجرا کند.

ایمیل‌های مخرب در موضوعاتی مانند تراکنش‌های مالی و فاکتورهای خرید ارسال می‌شوند. کاربر قربانی وادار می‌شود تا برای دانلود فایل تراکنش مالی روی یک لینک مخرب کلیک کند که این لینک یک فایل Zip مخرب، حاوی بدافزار، دانلود می‌کند.

آدرسی که فایل Zip از آن دانلود می‌شود یک دامنه عادی است که به‌نظر می‎رسد مورد نفوذ مهاجمان قرار گرفته‌باشد. درون فایل Zip یک فایل VBS قرار دارد که نمونه آن در تصویر زیر قابل مشاهده است:
در صورتی که قربانی فایل VBS را اجرا کند، یک فایل exe در رایانه وی بارگذاری و سپس به a.exe تغییر نام داده‌می‌شود. این فایل یک نمونه بدافزار TrickBot است که در بخش Task Scheduler سیستم قربانی نصب می‌شود. بدافزار سپس در پوشه %AppData% به gpuDriver تغییر نام می‌دهد:
در ادامه بدافزار اطلاعات سیستم را برای سرور فرمان و کنترل (C&C) ارسال می‌کند تا مولفه‌های مخرب دیگر را انتقال دهد.

نشانه‌های آلودگی (IoC):
هش‌ها:
• ۳۸۵۱DEB۸۵۳۰۲B۷E۰DDF۸۲۴۱A۳B۹AC۴EF۰CF۶۸۸۷E۲CE۴AF۹E۴FAC۶FBA۵۴۲۹۶۱۳A - [a.exe]
• EDAA۳BDB۷۵FF۰۰AC۴۰۶۴E۲۰E۶C۲۱۱A۷۷A۱۴۰۴E۲۷FF۷E۹۹۵۴۶۶۷D۷C۰۰EDEB۲۸۵۶ - [۲۱--۲۵.zip]
• ۷A۴۳۱۶۲۵E۶EC۷۷۹۹CE۳B۱F۰F۹۵B۸۰F۰۶۴۶F۷D۳A۹۲B۲BD۵۴۳۶B۱۵۵۴۸A۸۳FCE۹۶۳ - [۲۱--۲۵.vbs]
کد مطلب : 15304
https://aftana.ir/vdcc01qs.2bqpx8laa2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی