تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعالسازی ابزارهای امنیتی است.
منبع : مرکز مدیریت راهبردی افتا
تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعالسازی ابزارهای امنیتی است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران امنیتی اخیرا ویرایش جدیدی از تروجان بانکی Trickbot را که از سال ۲۰۱۶ در حال فعالیت است، کشف کردهاند. این نسخه از تکنیکهای تزریق کد مخفیانهای استفاده میکند.
تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعالسازی ابزارهای امنیتی است. این بدافزار از تکنیکهای ضدتحلیل نیز بهرهمند است. برای جلوگیری از تحلیل، این تروجان از تکنیکهای مختلف و سادهای مانند توقف فعالیت برای مدتزمان کوتاه یا طولانی و فراخوانی توابع بیاستفاده بهره میبرد. برای جلوگیری از شناسایی نیز Trickbot، سرویس Windows Defender را غیرفعال و حذف میکند.
بدافزار Trickbot از اوایل سال ۲۰۱۶ به عنوان یک تروجان man in the browser مطرح شد که دارای ماژولهایی برای سرقت اطلاعات از مرورگر و Outlook، قفل رایانه قربانی، جمعآوری اطلاعات شبکه و سیستم و سرقت اطلاعات احراز هویت دامنههاست. این تروجان سیستمهای قربانی را برای فعالیتهای مخرب دیگری مانند کاوش ارز دیجیتالی نیز مورد هدف قرار میدهد.
آخرین ویرایش Trickbot از طریق ایمیلهای اسپم در حال گسترش است و از اسناد Word حاوی کد ماکرو مخرب استفاده میکند. پژوهشگران Cyberbit برای اولین حملات ویرایش جدید این تروجان را در ماه گذشته و در کشورهای آمریکا و اسپانیا مشاهده کردند. کد ماکرو مخرب جاسازی شده در اسناد مبهمسازی شدهاند و پس از اجرا یک اسکریپت PowerShell را اجرا میکنند که این اسکریپت Trickbot را دانلود و اجرا میکنند.
همچنین پژوهشگران شباهتهایی را بین Trickbot و Flokibot یافتند. Flokibot تروجانی است که یک در پشتی را باز میکند، اطلاعات را به سرقت میبرد و فایلهای مخربی را در سیستم هدف بارگذاری میکند. یکی از شباهتهای بین این دو تروجان استفاده از الگوریتم CRC32 در هش کردن اسم توابع است.
در ماههای گذشته Trickbot بهصورت پیوسته در حال تکامل بودهاست و در ماههای جولای و می، گزارشهایی مبنی بر تکامل این تروجان از طرف IBM و Flashpoint منتشر شدهبود.