Trickbot utilisé comme une banque de simples chevaux de Troie, a parcouru un long chemin. Au fil du temps, nous avons vu comment les cybercriminels continuent d'ajouter de nouvelles fonctionnalités au logiciel malveillant.
Mars dernier, Trickbot a ajouté une nouvelle augmentation du module l'évasion de détection et la fonction de verrouillage de l'écran. Ce mois-ci, nous avons vu Trickbot (détecté par Trend Micro comme TSPY_TRICKBOT.THOIBEAI) dispose désormais d'un module de gestion de mot de passe (pwgrab32), peut voler plus accès aux applications et navigateur, tels que Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer et Microsoft Edge. Selon notre télémétrie, nous avons constaté que cette variante affecte principalement l'utilisateur Trickbot aux États-Unis, au Canada et aux Philippines.
Module d'analyse de Trickbot
Les auteurs de malwares continuent d'utiliser la construction modulaire Trickbot - il peut être lui-même constamment mis à jour en téléchargeant de nouveaux modules à partir du serveur C & C, et modifier sa configuration pour mettre à jour les logiciels malveillants sophistiqués. Pour mieux comprendre cette menace, nous analysons les différents modules Trickbot, à partir de la nouvelle pwgrab32 module, nous avons vu ce mois-ci.
Module pwgrab32
Le nouveau Trickbot module, intitulé pwgrab32 ou PasswordGrabber, voler lettres de créance de Filezilla, Microsoft Outlook et WinSCP et d'autres applications.
1. La figure affecté les systèmes Trickbot nouveau module pwgrab32 capture d'écran
Le nouveau module de code 2. vol de mot de passe FTP figure d'une capture d'écran FileZilla
Figure 3. Un écran photo du nouveau code du module pour voler les informations d'identification de Microsoft Outlook
Figure 4. Obtenir une capture d'écran Trickbot mot de passe de l'open source FTP WinSCP
En plus de voler des informations d'identification de l'application, voler également les informations suivantes de plusieurs navigateurs Web populaires, tels que Google Chrome, Mozilla Firefox, Internet Explorer et Microsoft bord:
Nom d'utilisateur et mot de passe crackers historique de navigation Internet est automatiquement les messages HTTP5. Code capture d'écran figure de Trickbot, qui est de voler le mot de passe à partir d'un navigateur Web de configuration populaires
Il convient de noter que cette variante Trickbot ne pas voler les mots de passe à partir d'une application tierce partie gestionnaire de mot de passe. Nous étudions encore ce logiciel malveillant pour voir si elle peut voler des mots de passe à partir du gestionnaire de mot de passe avec un plug-in navigateur.
Module shareDll32
module Trickbot utilisation de shareDll32 aide se répandirent dans tout le réseau. Il se connecte au serveur C & C http: // 185.251.9.251 / radiance.png pour télécharger une copie de lui-même et l'enregistrer comme setuplog.tmp.
Figure 6. Trickbot du module shareDll32 lui permet de se connecter au serveur C & C pour télécharger une copie de lui-même
7. Enregistrez la carte du fichier téléchargé pour setuplog.tmp
Ensuite, des modules et des systèmes shareDll32 WNetEnumResource GetComputerNameW énumérés et identifiés sur les mêmes connexions de domaine.
8. FIG captures d'écran et le code GetComputerNameW énumération WNetEnumResourceW et système d'identification connecté
Ensuite, copiez le fichier setuplog.tmp pour gérer les ordinateurs ou les systèmes partagés ont été découverts.
9 répliquées dans la capture d'écran de gestion de la part de la FIG
Afin de rendre le logiciel malveillant plus durable, il a un service de démarrage automatique qui permet l'exécution de Trickbot lorsque la machine démarre. Ce service peut avoir le nom d'affichage suivant:
La technologie des services technologiques Service_Techno2, au service 2Technoservices avancé - technologie ServiceTechno5 service de nouvellesModule wormDll
Module wormDll32 NetServerEnum tentatives d'utiliser une requête LDAP pour le réseau et le serveur et le contrôleur de domaine. 2017, les chercheurs de sécurité Point d'éclair d'abord observé la capacité de propagation du ver Trickbot.
10. domaine de code de la figure postes de travail et des serveurs identifiant NetServerEnum
11. code d'identificateur de requête LDAP de la figure contrôleur de réseau de domaine
12. Code de requête LDAP figure l'identification des ordinateurs dans le réseau est un contrôleur de domaine
Nous avons également constaté que l'utilisation de « pysmb », en utilisant les systèmes d'exploitation mise en uvre LM NT 0.12 Windows et recherche plus anciennes actions IPC peut SMB protocole. Il convient de noter que cette fonction semble être encore au stade de développement.
13. codes figure Capture d'écran possible communication SMB
networkDll32
Trickbot utilisant ce module de chiffrement scanne le réseau et le vol des informations sur le réseau. Il exécute la commande suivante pour recueillir des informations sur le système infecté:
Figure 14. Module networkDll32 Exécuté capture d'écran d'une commande pour recueillir les informations sur le réseau
Module Wormdll32
Wormdll32 est Trickbot SMB et requête LDAP pour la propagation à travers le module de chiffrement elle-même. Il module « wormDll » servent à se propager sur le réseau.
Module importDll32
Ce module est responsable des données voleras du navigateur, comme l'historique de navigation, cookies et plug-ins.
Module systeminfo32
Une fois que vous avez installé avec succès dans le système, Trickbot recueillera des informations système, telles que le système d'exploitation, des informations CPU et de la mémoire, les comptes utilisateurs, la liste des programmes et des services qui sont installés.
Module mailsearcher32
Ce module recherche les systèmes de fichiers infectés à des adresses de courrier électronique pour vol virés.
Adresse e-mail activité spam récolte besoins liés sont souvent le comportement des logiciels malveillants, cependant, Kryptos Research a récemment rapporté que, les chevaux de Troie Emotet non bancaires juste pour voler les adresses de courrier électronique, il peut recueillir sur le sujet dispositif infecté Emotet pour envoyer et recevoir par Microsoft Outlook e-mail. Selon des études antérieures, Brad Duncan, Emotet également chargé de fournir ce mot de passe de l'attraction Trickbot variantes et Azorult à l'utilisateur.
Module injectDll32
Ce module de chiffrement surveille site d'application bancaires peuvent être utilisés. Il est également utilisé pour utiliser des techniques d'injection de DLL réfléchissantes à code Injecter dans son processus cible.
Deux différents sites liés à la banque-moniteur injectDll32 pour voler credentials Méthodes:
Tout d'abord, lorsque l'utilisateur se connecte à l'un de ses sites surveillés sur la liste des banques, telles que Chase Manhattan Bank, Citibank, Bank of America, Bank of Sparta, Banco Santander, HSBC, Banque Canadienne Impériale de Commerce (CIBC) et Metrobank, Trickbot POST réponse sera envoyée à extraire les informations d'identification de l'utilisateur au serveur C & C.
En second lieu, les moniteurs Trickbot si les utilisateurs accèdent à certains sites parabancaires dans la liste, tels que C. Hoare & Co Bank, la place Saint-James et Royal Bank of Scotland, et redirige l'utilisateur vers un faux sites de phishing.
la surveillance bancaire URL Trickbot comprennent les sites des États-Unis, le Canada, la Grande-Bretagne, l'Allemagne, l'Australie, l'Autriche, l'Irlande, Londres, la Suisse et l'Ecosse.
Autres compétences notables Trickbot
Trickbot généralement envoyé par une campagne de spam malveillant. Ce malware pour désactiver Microsoft intégré anti-virus Windows Defender en exécutant certaines commandes et modifier les clés de Registre.
En outre, il sera également fin aux processus associés à Windows Defender, comme MSASCuil.exe, MSASCui.exe et utilitaires anti-spyware MsMpEng.exe. Il dispose également d'un mécanisme de démarrage automatique (Msntcs), qui est déclenché au démarrage du système, et détente une fois toutes les dix minutes après la première exécution.
Il désactive le service anti-logiciels malveillants suivants:
MBamService (Malwarebytes __gVirt_NP_NNS_NNPS<__ processus liés) SAVService (Sophos AV __gVirt_NP_NNS_NNPS<__ processus connexes)Son analyse anti-fonction peut vérifier le système et se termine lui-même quand il se trouve certains modules, par exemple pstorec.dll, vmcheck.dll, wpespy.dll et dbghelp.dll.
Défendez conseils Trickbot: Solutions Trend Micro
Les auteurs de malwares continuent d'utiliser le nouveau module pour la mise à jour Trickbot et Emotet et autres chevaux de Troie bancaires, ce qui rend plus difficile à détecter et combattre. Les utilisateurs et les entreprises peuvent bénéficier de l'utilisation d'une approche multi-niveaux pour réduire le risque de la banque des chevaux de Troie pour protéger la menace posée.
Trend Micro XGen offre une sécurité à travers les générations mélangées technologies de défense contre les menaces pour protéger le système contre tous les types de menaces, y compris les chevaux de Troie bancaires, ransomware et l'excavation de la monnaie de cryptage des logiciels malveillants. Il a un apprentissage machine haute fidélité sur la passerelle et le point final, peut protéger les physiques, les charges de travail virtuels et de cloud computing. Avec Web / filtrage des URL, l'analyse comportementale et bac à sable personnalisé et d'autres fonctions, la sécurité XGen contre les menaces d'aujourd'hui peuvent contourner le contrôle traditionnel, l'utilisation de connu, inconnu ou vulnérabilités non divulguées, le vol ou les données cryptées d'identification personnelle, ou malveillant crypté l'exploitation des devises. Intelligence, l'optimisation et la connectivité, la suite de sécurité de Trend Micro prend en charge la XGen.
Indice de compromis
ip
103.10.145.197:449
103.110.91.118:449
103.111.53.126:449
107.173.102.231:443
107.175.127.147:443
115.78.3.170:443
116.212.152.12:449
121.58.242.206:449
128.201.92.41:449
167.114.13.91:443
170.81.32.66:449
173.239.128.74:443
178.116.83.49:443
181.113.17.230:449
182.253.20.66:449
182.50.64.148:449
185.66.227.183:443
187.190.249.230:443
190.145.74.84:449
192.252.209.44:443
197.232.50.85:443
198.100.157.163:443
212.23.70.149:443
23.226.138.169:443
23.92.93.229:443
23.94.233.142:443
23.94.41.215:443
42.115.91.177:443
46.149.182.112:449
47.49.168.50:443
62.141.94.107:443
68.109.83.22:443
70.48.101.54:443
71.13.140.89:443
75.103.4.186:443
81.17.86.112:443
82.222.40.119:449
94.181.47.198:449
SHA256
TSPY_TRICKBOT.THOIBEAI:
806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16
* L'auteur: bingbingxiaohu, de préciser s'il vous plaît reproduit FreeBuf.COM