Banque nouveau module cheval de Troie Trickbot: Mot de passe Analyse de carte d'acquisition

2018-11-09 10:50:50

Trickbot utilisé comme une banque de simples chevaux de Troie, a parcouru un long chemin. Au fil du temps, nous avons vu comment les cybercriminels continuent d'ajouter de nouvelles fonctionnalités au logiciel malveillant.

Mars dernier, Trickbot a ajouté une nouvelle augmentation du module l'évasion de détection et la fonction de verrouillage de l'écran. Ce mois-ci, nous avons vu Trickbot (détecté par Trend Micro comme TSPY_TRICKBOT.THOIBEAI) dispose désormais d'un module de gestion de mot de passe (pwgrab32), peut voler plus accès aux applications et navigateur, tels que Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer et Microsoft Edge. Selon notre télémétrie, nous avons constaté que cette variante affecte principalement l'utilisateur Trickbot aux États-Unis, au Canada et aux Philippines.

Module d'analyse de Trickbot

Les auteurs de malwares continuent d'utiliser la construction modulaire Trickbot - il peut être lui-même constamment mis à jour en téléchargeant de nouveaux modules à partir du serveur C & C, et modifier sa configuration pour mettre à jour les logiciels malveillants sophistiqués. Pour mieux comprendre cette menace, nous analysons les différents modules Trickbot, à partir de la nouvelle pwgrab32 module, nous avons vu ce mois-ci.

Module pwgrab32

Le nouveau Trickbot module, intitulé pwgrab32 ou PasswordGrabber, voler lettres de créance de Filezilla, Microsoft Outlook et WinSCP et d'autres applications.

1. La figure affecté les systèmes Trickbot nouveau module pwgrab32 capture d'écran

Le nouveau module de code 2. vol de mot de passe FTP figure d'une capture d'écran FileZilla

Figure 3. Un écran photo du nouveau code du module pour voler les informations d'identification de Microsoft Outlook

Figure 4. Obtenir une capture d'écran Trickbot mot de passe de l'open source FTP WinSCP

En plus de voler des informations d'identification de l'application, voler également les informations suivantes de plusieurs navigateurs Web populaires, tels que Google Chrome, Mozilla Firefox, Internet Explorer et Microsoft bord:

Nom d'utilisateur et mot de passe crackers historique de navigation Internet est automatiquement les messages HTTP

5. Code capture d'écran figure de Trickbot, qui est de voler le mot de passe à partir d'un navigateur Web de configuration populaires

Il convient de noter que cette variante Trickbot ne pas voler les mots de passe à partir d'une application tierce partie gestionnaire de mot de passe. Nous étudions encore ce logiciel malveillant pour voir si elle peut voler des mots de passe à partir du gestionnaire de mot de passe avec un plug-in navigateur.

Module shareDll32

module Trickbot utilisation de shareDll32 aide se répandirent dans tout le réseau. Il se connecte au serveur C & C http: // 185.251.9.251 / radiance.png pour télécharger une copie de lui-même et l'enregistrer comme setuplog.tmp.

Figure 6. Trickbot du module shareDll32 lui permet de se connecter au serveur C & C pour télécharger une copie de lui-même

7. Enregistrez la carte du fichier téléchargé pour setuplog.tmp

Ensuite, des modules et des systèmes shareDll32 WNetEnumResource GetComputerNameW énumérés et identifiés sur les mêmes connexions de domaine.

8. FIG captures d'écran et le code GetComputerNameW énumération WNetEnumResourceW et système d'identification connecté

Ensuite, copiez le fichier setuplog.tmp pour gérer les ordinateurs ou les systèmes partagés ont été découverts.

9 répliquées dans la capture d'écran de gestion de la part de la FIG

Afin de rendre le logiciel malveillant plus durable, il a un service de démarrage automatique qui permet l'exécution de Trickbot lorsque la machine démarre. Ce service peut avoir le nom d'affichage suivant:

La technologie des services technologiques Service_Techno2, au service 2Technoservices avancé - technologie ServiceTechno5 service de nouvelles

Module wormDll

Module wormDll32 NetServerEnum tentatives d'utiliser une requête LDAP pour le réseau et le serveur et le contrôleur de domaine. 2017, les chercheurs de sécurité Point d'éclair d'abord observé la capacité de propagation du ver Trickbot.

10. domaine de code de la figure postes de travail et des serveurs identifiant NetServerEnum

11. code d'identificateur de requête LDAP de la figure contrôleur de réseau de domaine

12. Code de requête LDAP figure l'identification des ordinateurs dans le réseau est un contrôleur de domaine

Nous avons également constaté que l'utilisation de « pysmb », en utilisant les systèmes d'exploitation mise en uvre LM NT 0.12 Windows et recherche plus anciennes actions IPC peut SMB protocole. Il convient de noter que cette fonction semble être encore au stade de développement.

13. codes figure Capture d'écran possible communication SMB

networkDll32

Trickbot utilisant ce module de chiffrement scanne le réseau et le vol des informations sur le réseau. Il exécute la commande suivante pour recueillir des informations sur le système infecté:

Figure 14. Module networkDll32 Exécuté capture d'écran d'une commande pour recueillir les informations sur le réseau

Module Wormdll32

Wormdll32 est Trickbot SMB et requête LDAP pour la propagation à travers le module de chiffrement elle-même. Il module « wormDll » servent à se propager sur le réseau.

Module importDll32

Ce module est responsable des données voleras du navigateur, comme l'historique de navigation, cookies et plug-ins.

Module systeminfo32

Une fois que vous avez installé avec succès dans le système, Trickbot recueillera des informations système, telles que le système d'exploitation, des informations CPU et de la mémoire, les comptes utilisateurs, la liste des programmes et des services qui sont installés.

Module mailsearcher32

Ce module recherche les systèmes de fichiers infectés à des adresses de courrier électronique pour vol virés.

Adresse e-mail activité spam récolte besoins liés sont souvent le comportement des logiciels malveillants, cependant, Kryptos Research a récemment rapporté que, les chevaux de Troie Emotet non bancaires juste pour voler les adresses de courrier électronique, il peut recueillir sur le sujet dispositif infecté Emotet pour envoyer et recevoir par Microsoft Outlook e-mail. Selon des études antérieures, Brad Duncan, Emotet également chargé de fournir ce mot de passe de l'attraction Trickbot variantes et Azorult à l'utilisateur.

Module injectDll32

Ce module de chiffrement surveille site d'application bancaires peuvent être utilisés. Il est également utilisé pour utiliser des techniques d'injection de DLL réfléchissantes à code Injecter dans son processus cible.

Deux différents sites liés à la banque-moniteur injectDll32 pour voler credentials Méthodes:

Tout d'abord, lorsque l'utilisateur se connecte à l'un de ses sites surveillés sur la liste des banques, telles que Chase Manhattan Bank, Citibank, Bank of America, Bank of Sparta, Banco Santander, HSBC, Banque Canadienne Impériale de Commerce (CIBC) et Metrobank, Trickbot POST réponse sera envoyée à extraire les informations d'identification de l'utilisateur au serveur C & C.

En second lieu, les moniteurs Trickbot si les utilisateurs accèdent à certains sites parabancaires dans la liste, tels que C. Hoare & Co Bank, la place Saint-James et Royal Bank of Scotland, et redirige l'utilisateur vers un faux sites de phishing.

la surveillance bancaire URL Trickbot comprennent les sites des États-Unis, le Canada, la Grande-Bretagne, l'Allemagne, l'Australie, l'Autriche, l'Irlande, Londres, la Suisse et l'Ecosse.

Autres compétences notables Trickbot

Trickbot généralement envoyé par une campagne de spam malveillant. Ce malware pour désactiver Microsoft intégré anti-virus Windows Defender en exécutant certaines commandes et modifier les clés de Registre.

En outre, il sera également fin aux processus associés à Windows Defender, comme MSASCuil.exe, MSASCui.exe et utilitaires anti-spyware MsMpEng.exe. Il dispose également d'un mécanisme de démarrage automatique (Msntcs), qui est déclenché au démarrage du système, et détente une fois toutes les dix minutes après la première exécution.

Il désactive le service anti-logiciels malveillants suivants:

MBamService (Malwarebytes __gVirt_NP_NNS_NNPS<__ processus liés) SAVService (Sophos AV __gVirt_NP_NNS_NNPS<__ processus connexes)

Son analyse anti-fonction peut vérifier le système et se termine lui-même quand il se trouve certains modules, par exemple pstorec.dll, vmcheck.dll, wpespy.dll et dbghelp.dll.

Défendez conseils Trickbot: Solutions Trend Micro

Les auteurs de malwares continuent d'utiliser le nouveau module pour la mise à jour Trickbot et Emotet et autres chevaux de Troie bancaires, ce qui rend plus difficile à détecter et combattre. Les utilisateurs et les entreprises peuvent bénéficier de l'utilisation d'une approche multi-niveaux pour réduire le risque de la banque des chevaux de Troie pour protéger la menace posée.

Trend Micro XGen offre une sécurité à travers les générations mélangées technologies de défense contre les menaces pour protéger le système contre tous les types de menaces, y compris les chevaux de Troie bancaires, ransomware et l'excavation de la monnaie de cryptage des logiciels malveillants. Il a un apprentissage machine haute fidélité sur la passerelle et le point final, peut protéger les physiques, les charges de travail virtuels et de cloud computing. Avec Web / filtrage des URL, l'analyse comportementale et bac à sable personnalisé et d'autres fonctions, la sécurité XGen contre les menaces d'aujourd'hui peuvent contourner le contrôle traditionnel, l'utilisation de connu, inconnu ou vulnérabilités non divulguées, le vol ou les données cryptées d'identification personnelle, ou malveillant crypté l'exploitation des devises. Intelligence, l'optimisation et la connectivité, la suite de sécurité de Trend Micro prend en charge la XGen.

Indice de compromis

ip

103.10.145.197:449

103.110.91.118:449

103.111.53.126:449

107.173.102.231:443

107.175.127.147:443

115.78.3.170:443

116.212.152.12:449

121.58.242.206:449

128.201.92.41:449

167.114.13.91:443

170.81.32.66:449

173.239.128.74:443

178.116.83.49:443

181.113.17.230:449

182.253.20.66:449

182.50.64.148:449

185.66.227.183:443

187.190.249.230:443

190.145.74.84:449

192.252.209.44:443

197.232.50.85:443

198.100.157.163:443

212.23.70.149:443

23.226.138.169:443

23.92.93.229:443

23.94.233.142:443

23.94.41.215:443

42.115.91.177:443

46.149.182.112:449

47.49.168.50:443

62.141.94.107:443

68.109.83.22:443

70.48.101.54:443

71.13.140.89:443

75.103.4.186:443

81.17.86.112:443

82.222.40.119:449

94.181.47.198:449

SHA256

TSPY_TRICKBOT.THOIBEAI:

806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16

* L'auteur: bingbingxiaohu, de préciser s'il vous plaît reproduit FreeBuf.COM

Changan Automobile développer conjointement l'intelligence artificielle IFLYTEK
Précédent
directeur « Avatar » apportera de nouveaux travaux « Un Lita: Battle Angel » en Chine, les uvres classiques de mélange de carburant élevée peuvent être coupés chaque partie Dieux
Prochain
haut rendement multi-déplacement, le public show Liang ultra-Dieu Zhuge
A-COLD-WALL * exposition d'équipement de jeu transfrontalier! ? Affecté à la tendance des grands noms font le billet!
Le nouveau Santana SATISFAITS mis en vente Wan Ho 8,99 à 13,89
Le 69e lauréat du Festival du film de Berlin a balayé la première actrice de l'actrice chinoise! Wang Xiaoshuai faire l'histoire "Forever and Ever"
FEAR DE DIEU x Vault par foyer Vans de la visite conjointe récente! Flyknit formateur offre d'information disponibles! | Chao Wen fast food
Il est clair que indiquer que vous voulez de mil à NetEase aux armes de combat! Jingdong a lancé le "Beijing-Tokyo fait"
Déclaration Chi Chuan GS3 dessin nouveau petit SUV / ou disponible en Août
nouvelle évaluation de la gloire Zhao Apple: le manque d'innovation, cher
Votre facture d'arme suprême peut être fausse? ! Aujourd'hui, nous allons vous dire comment identifier l'authenticité!
« Downfall », « chef de l'Etat » joué par Bruno est mort à l'âge de 77 ans
Stand boycott Shu mal la santé des enseignantes à Shanghai importe la façon dont vous regardez?
Exposition Yuet moderne pur version électrique de la déclaration Figure Ride moteurs 81.4kW