Gerdab.IR | گرداب

تروجان Trickbot در حال تکامل است

تاریخ انتشار : ۲۹ مرداد ۱۳۹۷

پژوهشگران امنیتی اخیرا ویرایش جدیدی از تروجان بانکی Trickbot که از سال ۲۰۱۶ در حال فعالیت است را کشف کرده‌اند که از تکنیک‌های تزریق کد مخفیانه‌ای استفاده می‌کند.

به گزارش گرداب، به گفته پژوهشگران Cyberbit، تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعال‌سازی ابزارهای امنیتی است. این بدافزار از تکنیک‌های ضدتحلیل نیز بهره مند است. برای جلوگیری از تحلیل، این تروجان از تکنیک‌های مختلف و ساده‌ای مانند توقف فعالیت برای مدت زمان کوتاه یا طولانی و فراخوانی توابع بی‌استفاده بهره می‌برد. برای جلوگیری از شناسایی نیز، Trickbot سرویس Windows Defender را غیرفعال و حذف می‌کند.
بدافزار Trickbot از اوایل سال ۲۰۱۶ به عنوان یک تروجان مرد در مرورگر (man-in-the-browser) مطرح شد که دارای ماژول‌هایی برای سرقت اطلاعات از مرورگر و Outlook، قفل رایانه قربانی، جمع‌آوری اطلاعات شبکه و سیستم و سرقت اطلاعات احرازهویت دامنه‌ها است. این تروجان سیستم‌های قربانی را برای فعالیت‌های مخرب دیگری مانند کاوش ارز دیجیتالی نیز مورد هدف قرار می‌دهد.
آخرین ویرایش Trickbot از طریق ایمیل‌های اسپم در حال گسترش است و از اسناد Word حاوی کد ماکرو مخرب استفاده می‌کند. پژوهشگران Cyberbit برای اولین حملات ویرایش جدید این تروجان را در ماه گذشته و در کشورهای امریکا و اسپانیا مشاهده کردند. کد ماکرو مخرب جاسازی شده در اسناد مبهم‌سازی شده‌اند و پس از اجرا یک اسکریپت PowerShell را اجرا می‌کنند که این اسکریپت Trickbot را دانلود و اجرا می‌کنند.
همچنین، پژوهشگران شباهت‌هایی را بین Trickbot و Flokibot یافتند. Flokibot تروجانی است که یک در پشتی را باز می‌کند، اطلاعات را به سرقت می‌برد و فایل‌های مخربی را در سیستم هدف بارگذاری می‌کند. یکی از شباهت‌های بین این دو تروجان استفاده از الگوریتم CRC۳۲ در هش کردن اسم توابع است.
در ماه‌های گذشته Trickbot بصورت پیوسته در حال تکامل بوده است و در ماه‌های جولای و می گزارش‌هایی مبنی بر تکامل این تروجان از طرف IBM و Flashpoint منتشر شده بود.