انتشار کرونایی Trickbot
به گزارش کارگروه امنیت سایبربان ؛ به نقل از پایگاه اینترنتی BleepingComputer، شرکت Microsoft اعلام کرده است این شرکت تنها ظرف کمتر از یک هفته، چند صد پیوست منحصربهفرد حاوی ماکروی ناقل TrickBot را شناسایی کرده که در آنها وانمود میشود که سند از سوی یک سازمان غیرانتفاعی برای تست رایگان کرونا ارسالشده است.
مدتهاست که ماکروهای ناقل TrickBot تعمداً با تأخیر کد مخرب را دریافت میکنند تا از این طریق بسترهای سندباکس تحلیلگر و شبیهساز را که معمولاً توسط محصولات امنیتی و مهندسان ویروس به کار گرفته میشوند را ناکام بگذارند.
حدود یک هفته قبل نیز Microsoft اعلام کرد که از ۷۶ تهدید شناساییشده توسط این شرکت که در آنها از موضوعات مرتبط با کرونا برای فریب کاربران سوءاستفاده شده TrickBot در صدر فعالترین آنها قرارگرفته است.
از بین میلیونها پیام هدفمند، حدود ۶۰ هزار پیام حاوی پیوست یا نشانی مخرب با موضوعاتی در ظاهر مرتبط با کرونا بوده است.
تنها در یک روز قابلیت ضدفیشینگ Microsoft معروف به SmartScreen بیش از ۱۸ هزار نشانی URL و IP با الگوی کرونایی را شناسایی کرده است.
در اکتبر ۲۰۱۶، تروجان TrickBot بهعنوان یک بدافزار بانکی مبتنی بر ماژول پا به عرصه تهدیدات سایبری گذاشت. این بدافزار همواره توسط نویسندگان آن در حال ارتقا بوده و بهطور مستمر ماژولها و قابلیتهای جدیدی به آن اضافهشده است.
برای مثال، در اواخر ماه مارس، فعالیت گردانندگان TrickBot به دلیل استفاده آنها از یک برنامه مخرب Android برای عبور از سد سیستمهای حفاظتی مبتنی بر اصالتسنجی دومرحلهای چندین بانک درحالیکه پیش از آن اطلاعات موسوم به Transaction Authentication Number را سرقت کرده بودند خبرساز شد.
همچنین از ابتدای ژانویه، TrickBot مجهز به سازوکاری جدید برای بیاثر ساختن بخش User Account Control – بهاختصار UAC – شد که این بدافزار را قادر به اجرای فایل مخرب خود با سطح دسترسی ارتقا یافته بدون نمایش هشدار UAC میکرد.
یا در نمونهای دیگر گردانندگان TrickBot برای بهرهگیری از ترس عمومی ناشی از شیوع ویروس کرونا در یک کارزار هرزنامهای اقدام به ارسال ایمیلهایی با پیوست مخرب به کاربران ایتالیایی کردند. در این ایمیلها تظاهر میشد که ارسالکننده یکی از پزشکان سازمان بهداشت جهانی در ایتالیا بوده و پیوست نیز حاوی اطلاعاتی در خصوص راهکارهای پیشگیرانه برای مقابله با کروناست.
در فوریه نیز TrickBot و Emotet هر دو با استفاده از متنهایی برگرفتهشده از اخبار واقعی کرونا تلاش کردند تا از سد کنترلهای امنیتی مبتنی بر یادگیری ماشین و هوش منصوعی عبور کنند.
چند روز پیش نیز Google اعلام کرد پویشگرهای بکار گرفتهشده در Gmail تنها طی یک هفته هیجده میلیون ایمیل فیشینگ و ناقل بدافزار مبتنی بر الگوی کرونا را مسدود کرده است.
TrickBot اگرچه در ابتدا تنها برای استخراج و سرقت دادههای حساس از روی سیستم قربانی مورداستفاده مهاجمان قرار میگرفت اما اکنون به یک ابزار پرآوازه برای آلوده کردن دستگاه به بدافزارهای گاهاً بهمراتب خطرناکتر تکاملیافته است.
TrickBot، خود معمولاً بهواسطه Emotet بر روی دستگاه قربانیان نصبشده و عمدتاً در جریان حملات چندمرحلهای برای دانلود و اجرای بدافزارهای مخربی که یکی از معروفترین آنها باج افزار Ryuk است مورداستفاده میگیرد.
در اکثر مواقع، این تفویض اختیار به بدافزار دوم پسازآن اتفاق میافتد که تمامی دادههای بالقوه مفید همچون اطلاعات سیستم، اطلاعات اصالتسنجی، فایلهای موردنظر مهاجمان توسط TrickBot سرقت شده است.
TrickBot به دلیل توانایی آن در انتشار گسترده خود در بستر شبکهها بهخصوص در صورت موفقیت آن در دسترسی یافتن به سرورهای Domain Controller و سرقت اطلاعات اصالتسنجی Active Directory تهدیدی جدی بر ضد سازمانها تلقی میشود.
نشانههای آلودگی (IoC):
هش
• ec۳۴b۲۰۷d۵۰۳a۳c۹۵ee۷۴۳ee۲۹۶a۰۸e۹۳a۵e۹۶۰aa۴۶۱۱ea۸c۳۹d۸e۵d۴c۵f۶۵۹۳
• ۰b۴a۷۷۱۱۸۱af۲۹e۸۷۴۱۶۳۱۶ff۱eac۸a۷f۴b۹e۴۷a۷۵e۶۵۱defacdc۷۱۱b۰c۳۶۲f۲
• ۸daa۱c۵e۷۴۰۰۴f۳c۳۹۵۷a۱۸۱۰b۴f۳b۹fbcfc۰۴de۹۲cb۰۰daea۱۰f۷۷۴۴۷a۷۵a۲۵
