By | 24 شهریور 1401

بدافزار TrickBot یک تروجان بانکی است که می‌تواند جزئیات حساب های مالی و اطلاعات شناسایی شخصی (PII) را بدزدد.

بدافزار TrickBot ابزاری برای دزدیدن اطلاعات بانکی کاربران است. 

بدافزار TrickBot یا TrickLoader یک تروجان بانکی است که داده های کاربران مانند اطلاعات بانکی، اعتبار حساب، اطلاعات شناسایی شخصی (PII) و حتی بیت کوین را هدف قرار می دهد. به عنوان یک بدافزار بسیار ماژولار، می‌تواند با هر محیط یا شبکه‌ای که در آن قرار می‌گیرد سازگار شود.

این تروجان در سال 2016 کشف شد که علاوه بر سرقت اطلاعات کاربران، دارای قابلیت‌هایی برای حرکت جانبی در شبکه آسیب‌دیده با استفاده از اکسپلویت‌ها، انتشار کپی از خود از طریق اشتراک‌گذاری‌های بلاک پیام سرور (SMB)، حذف بدافزارهای دیگر مانند باج‌افزار Ryuk و جستجو در اسناد و رسانه‌ها است.

بدافزار TrickBot

بدافزار TrickBot چگونه گسترش می یابد؟

مانند Emotet به صورت URL های جعلی یا پیوست های آلوده و یا هرزنامه (malspam) وارد سیستم های آسیب دیده می شود.

#مقاله ای در مورد بدافزار Emotet در سایت قرار دارد که می توانید با کلیک بر روی لینک زیر آن را مطالعه فرمایید.

بدافزار Emotet

بدافزار TrickBot با بهره‌برداری از آسیب‌پذیری *SMB در شبکه پخش می‌شود.

بدافزار TrickBot

تاریخچه بدافزار TrickBot

TrickBot به عنوان یک دزد اطلاعات بانکی شروع به کار کرد.

در ابتدا، خدمات مالی کاربران را برای داده های بانکی هدف قرار داد. همچنین سایر بدافزارها را نیز حذف می کند.

TrickBot به عنوان جانشین Dyreza، یکی دیگر از این دسته بدافزارها که برای اولین بار در سال 2014 شناخته شد شهرت دارد. این امر بسیاری از محققان را به این باور رسانده است که شخص یا گروهی که Dyreza را ایجاد کرده است، TrickBot را نیز ساخته است.

بدافزار TrickBot

در سال 2017 توسعه دهندگان این بدافزار، یک ماژول کرم را در TrickBot قرار دادند که از باج افزارهای موفق قبلی مانند WannaCry و EternalPetya الهام گرفته است. توسعه دهندگان همچنین یک ماژول برای جمع آوری اعتبار Outlook اضافه کردند. صدها سازمان و میلیون‌ها نفر در سراسر جهان معمولاً از این سرویس ایمیل استفاده می‌کنند. دامنه داده‌هایی که TrickBot می‌دزدد نیز افزایش یافته است: کوکی‌ها، تاریخچه مرورگر، آدرس‌های اینترنتی بازدید شده، فلش و بسیاری از موارد دیگر.

دلیل سرقت این است که ماژول ها به خوبی کدگذاری نشده بودند.

در سال 2018، TrickBot به سوء استفاده از آسیب‌پذیری SMB ادامه داد. مجهز به ماژولی بود که با استفاده از فرمان PowerShell، Windows Defender را غیرفعال می‌کند. در حالی که الگوریتم رمزگذاری خود را نیز به روز کرده بود، بقیه عملکرد ماژول آن ثابت ماند.

در پایان آن سال بدافزار TrickBot با پشت سر گذاشتن Emotet به عنوان بزرگترین تهدید علیه مشاغل رتبه بندی شد.

بدافزار TrickBot

توسعه دهندگان TrickBot دوباره در سال 2019 تغییراتی در تروجان ایجاد کردند. به طور خاص، آنها تغییراتی در نحوه عملکرد ویژگی webinject در برابر اپراتورهای تلفن همراه مستقر در ایالات متحده مانند Sprint، Verizon Wireless و T-Mobile ایجاد کردند.

Mworm ماژولی که مسئول انتشار یک کپی از خودش است با یک ماژول جدید به نام Nworm جایگزین شد. این ماژول جدید ترافیک HTTP TrickBot را تغییر می‌دهد و به آن اجازه می‌دهد پس از آلوده کردن دامنه در حافظه اجرا شود. این امر تضمین می کند که TrickBot هیچ اثری از خود در دستگاه آسیب دیده باقی نمی گذارد.

بدافزار TrickBot

بدافزار Trickbot چه کسانی را هدف قرار می دهد؟

در ابتدا به نظر می رسید هر کسی هدف TrickBot باشد. اما در این سال ها به نظر می‌رسد که اهداف آن خاص‌تر شده‌است. بیشترین هدف کاربران Outlook و T-Mobile بودند.

در سال 2019، محققان DeepInstinct یک ریپوزیتوری از آدرس‌های ایمیل جمع‌آوری‌شده از میلیون‌ها کاربر پیدا کردند. که متعلق به کاربران Gmail، Hotmail، Yahoo، AOL و MSN بود.

محافظت در برابر بدافزار TrickBot

یادگیری نحوه عملکرد TrickBot اولین قدم برای دانستن اینکه چگونه سازمان ها و همچنین کاربران می توانند از خود در برابر آن محافظت کنند است. مواردی وجود دارد که باید به آنها توجه کرد:

1.با اجرای ابزارهایی که به طور خاص برای این کار طراحی شده اند، مانند ابزار اسکن Farbar (FRST) به دنبال شاخص های آلودگی باشید. انجام این کار ماشین های آلوده در شبکه را شناسایی می کند.

2.هنگامی که دستگاه های آلوده شناسایی شدند، آن ها را از شبکه جدا کنید.

3.وصله‌هایی را دانلود و نصب کنید که آسیب‌پذیری‌هایی را که TrickBot از آنها استفاده می‌کند را برطرف نمایند.

4.اشتراک‌گذاری‌ها را غیرفعال کنید.

5.همه رمزهای عبور لوکال و ادمین را تغییر دهید.

6.با استفاده از یک برنامه امنیتی معتبر که دارای حفاظت چند لایه است، از خود در برابر بدافزار TrickBot محافظت کنید.

 

 

* پروتکل بلاک پیام سرور (Server Message Block) یک پروتکل ارتباطی سرویس کلاینت-سرور است که برای اشتراک‌گذاری دسترسی به فایل‌ها، چاپگرها، پورت‌های سریال و سایر منابع در شبکه استفاده می‌شود. همچنین می تواند پروتکل های تراکنش را برای ارتباطات بین فرآیندی حمل کند.

 

 

 

منابع:

malwarebytes.com

bleepingcomputer.com

symantec-enterprise-blogs.security.com

cisecurity.org

IBM

CIS

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *