بدافزار TrickBot در شیوه جدیدش برای انتشار از ایمیلهای مخرب استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آزمایشگاه FortiGuard به تازگی ایمیلی را بررسی کرده که با شیوهای جدید در حال انتشار بدافزار TrickBot است. TrickBot نوعی بدافزار بارگذاریکننده است که میتواند سایر مولفههای مخرب را دانلود و اجرا کند.
ایمیلهای مخرب در موضوعاتی مانند تراکنشهای مالی و فاکتورهای خرید ارسال میشوند. کاربر قربانی وادار میشود تا برای دانلود فایل تراکنش مالی روی یک لینک مخرب کلیک کند که این لینک یک فایل Zip مخرب، حاوی بدافزار، دانلود میکند.
آدرسی که فایل Zip از آن دانلود میشود یک دامنه عادی است که بهنظر میرسد مورد نفوذ مهاجمان قرار گرفتهباشد. درون فایل Zip یک فایل VBS قرار دارد که نمونه آن در تصویر زیر قابل مشاهده است:
در صورتی که قربانی فایل VBS را اجرا کند، یک فایل exe در رایانه وی بارگذاری و سپس به a.exe تغییر نام دادهمیشود. این فایل یک نمونه بدافزار TrickBot است که در بخش Task Scheduler سیستم قربانی نصب میشود. بدافزار سپس در پوشه %AppData% به gpuDriver تغییر نام میدهد:
در ادامه بدافزار اطلاعات سیستم را برای سرور فرمان و کنترل (C&C) ارسال میکند تا مولفههای مخرب دیگر را انتقال دهد.
نشانههای آلودگی (IoC):
هشها:
• ۳۸۵۱DEB۸۵۳۰۲B۷E۰DDF۸۲۴۱A۳B۹AC۴EF۰CF۶۸۸۷E۲CE۴AF۹E۴FAC۶FBA۵۴۲۹۶۱۳A - [a.exe]
• EDAA۳BDB۷۵FF۰۰AC۴۰۶۴E۲۰E۶C۲۱۱A۷۷A۱۴۰۴E۲۷FF۷E۹۹۵۴۶۶۷D۷C۰۰EDEB۲۸۵۶ - [۲۱--۲۵.zip]
• ۷A۴۳۱۶۲۵E۶EC۷۷۹۹CE۳B۱F۰F۹۵B۸۰F۰۶۴۶F۷D۳A۹۲B۲BD۵۴۳۶B۱۵۵۴۸A۸۳FCE۹۶۳ - [۲۱--۲۵.vbs]