![YouTube confirmă adăugarea funcției Picture-in-Picture pentru utilizatorii iOS](/f/0de427cb126263702e9816011551f6d0.jpg?width=100&height=100)
Oamenii din întreaga lume sunt în permanență amenințați cu diverse programe malware concepute pentru a obține profituri ilicite sau pentru a fura date cu caracter personal. Dar există în mod specific un tip care este cel mai urât; sunt troieni bancari. De nenumărate ori, apar în diferite forme și exploatează utilizatorii. Dar cel mai rău care a prins lumina reflectoarelor recent este troianul TrickBot Banking care vizează mașinile Windows. S-a aflat că acest troian specific a avut impact cu succes în Australia, Asia și America Latină. Acum își face drum și prin Argentina, Peru și Chile, planificând să infecteze milioane de mașini. Puteți determina intensitatea notorietății și a daunelor lor din faptul că au reușit să trimită peste 75000 de e-mailuri în 25 de minute, care pretindeau de la Lloyds Bank, Marea Britanie, în 2017.
Acesta este unul dintre cei mai activi troieni bancari de pe piață, care are o mulțime de capabilități, inclusiv redirecționări URL și injecții web. Acest lucru a fost identificat și observat pentru prima dată în octombrie 2016 în Australia. Se estimează că Trickbot este operat și gestionat de un grup de indivizi cu acces global. De asemenea, sunt inteligenți, deoarece au atacat prin diferite tehnici, adică Redirecționare de 40% din ori și au lăsat 60% injecții web. Este un model care a fost văzut acum în 40 de țări.
Acest malware este livrat utilizatorilor prin e-mailuri de phishing, dar aceștia au început să exploreze și alte practici de distribuție, cum ar fi site-uri web false. În astfel de cazuri, acestea funcționează în principal prin injecții web.
Browserul web este infectat de malware, care verifică fiecare site pe care îl vizitați. Totul rămâne neafectat până când vizitați un site web bancar. Obiectivul principal al atacatorilor este de a phish utilizatorii prin intermediul site-urilor web bancare, de îndată ce utilizatorul vizitează oricare dintre site-urile bancare, un cod este interceptat prin rețea pentru a fura informații personale și acreditări a intrat.
Ceea ce este mai deranjant în injecțiile web este că nu puteți spune nimic doar uitându-vă la site-uri web, deoarece nu site-ul web este infectat, ci browserul web. În acest scenariu, cum putem identifica activități anormale? Ei bine, nimeni nu poate face acest lucru decât dacă merge la codul sursă al paginii bancare.
Dacă browserul dvs. nu este infectat, codurile vor fi relativ mai mici, în timp ce dacă este, veți vedea câteva funcții noi ciudate în el. Uneori, funcțiile suplimentare sau setul de coduri au comentarii care ne informează despre funcționalitatea lor, adică furarea acreditării și informarea hackerilor despre acestea.
Deși există cazuri în care redirecționarea URL-ului a fost utilizată, această practică devine tot mai rară. Motivul din spatele este faptul că orice redirecționare este identificabilă. Din nou, hackerii pot crea numai adrese URL similare și nu exacte pentru redirecționarea unei persoane în timpul navigării, datorită regulilor de înregistrare a numelor de domenii. Și acest lucru poate fi observat dacă cineva este atent la adresele URL.
Se raportează că malware-ul are multe funcții malware care includ: -
Citește și: Emotet troian - un troian bancar care a evoluat în mod periculos
Odată implementat, troianul bancar TrickBot se duplică în% APPDATA% și elimină eșantionul original.
Mai mult, adaugă două fișiere numite client_id și group_tag. Acestea sunt create local și utilizate pentru a detecta robotul individual și operațiunea este asociată. Aceste fișiere nu sunt criptate și conțin text în Unicode.
client_id: include numele mașinii infectate, versiunea sistemului de operare și un șir generat aleatoriu.
Dosarul conține un fișier numit config.conf. Este descărcat prin serverul Command & Control (C&C) și codat.
Notă: C&C sau C2 este utilizat de atacatorii cibernetici pentru a gestiona comunicațiile cu mașinile infectate dintr-o rețea infectată.
Un folder cunoscut sub numele de Module este generat în% APPDATA%. Alte fișiere descărcate prin C&C sunt injectDll32 și systeminfo32.
injectDll32- Este un modul bancher care injectează DLL-uri în browserele țintă pentru a iniția furtul de acreditări
systeminfo32- Este folosit pentru colectarea informațiilor generale despre sistem
Aceste fișiere sunt, de asemenea, codificate. Mai mult, lista browserelor țintă este codificată în interiorul injectDll32.dll. TrickBot o face eficientă acumulându-se ca o sarcină în Programatorul de activități Windows. Sarcina se numește pur și simplu „Bot” și nu se încearcă ascunderea acestei sarcini. Cu toate acestea, dacă încercați să eliminați sarcina, Task Scheduler Engine o repornește automat.
Programele malware TrickBot comunică cu diferite servere. La început, comunică cu un server valid pentru a obține un IP vizibil. În mod surprinzător, consumă propriul agent de utilizator, adică TrickLoader sau BotLoader și nu încearcă să se mascheze ca un browser autentic. Dar cea mai mare parte a comunicării TrickBot cu centrul de comandă și control este criptată SSL.
client_id și group_id, sunt utilizate în adresa URL a cererii POST urmată de codul de comandă. Aceasta a fost o trăsătură observată în malware-ul Dyreza. Mai mult, se încarcă o sarcină utilă suplimentară fără a cripta traficul de rețea. C&C-urile sunt instalate pe routerele wireless compromise, adică MikroTik. Aceasta este o altă caracteristică care se găsește comună între Dyreza și TrickBot. Un alt lucru ciudat despre TrickBot este că nici măcar nu încearcă să copieze nume cu aspect autentic pentru certificatele HTTP. Acestea includ date complet aleatorii. De exemplu: -
https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/
Utilizatorii punctului final nu vor vedea modificări, dar administratorul rețelei o va vedea. Simptomul se va schimba în trafic sau în eforturile de a ajunge la adrese URL restricționate și adrese IP din lista neagră. Acest lucru se întâmplă deoarece malware-ul încearcă să transmită datele către hackeri. Încearcă să retragă date și să primească sarcini de la serverul de control și comandă (C&C).
Deoarece acest troian folosește vulnerabilitatea EternalBlue, se va concentra asupra afectării întregii rețele, nu doar a unei mașini. Aceasta implică faptul că, odată ce rețeaua dvs. este afectată, nu mai există nicio ieșire. Puteți curăța o anumită mașină, dar nu întreaga rețea. Într-o măsură, izolarea mașinilor infectate și lucrul la eliminarea acestui troian ar putea fi eficient.
Iată câțiva pași pe care îi puteți urma dacă sunt afectate mașinile de rețea: -
Exe | pif | tmp | urlpst | cmd | com | hta | js | wsf | vb | vbe | scr | reg | cer | bat | dll | dat | hlp |
Trebuie citit: Trojan IcedID New Banking
Acesta este extrem de periculos nu numai datorită agresivității sale, ci și datorită evoluției sale constante. Operatorii acestui troian bancar au început, de asemenea, să vizeze utilizatorii prin e-mailuri Outlook, date de navigare și chiar criptomonede. Trebuie să venim în curând cu mecanismul de apărare dacă nu vrem să vedem portofelele și conturile noastre goale!