هشدار محققان امنیتی درباره

بهره‌برداری TrickBot از کامپیوترهای آلوده برای اجرای حملات جستجوی فراگیر RDP

یافته‌های جدید محققان امنیتی شرکت بیت‌دفندر نشان می‌دهد که سازندگان بدافزار TrickBot به‌تازگی با افزودن یک ماژول جدید به این تروجان بانکی، امکان بهره‌برداری از کامپیوترهای آلوده برای اجرای حملات جستجوی فراگیر روی پروتکل RDP را به قابلیت‌های این بدافزار اضافه کرده‌اند.
بدافزار TrickBot و حملات جستجوی فراگیر RDP

بر اساس گزارش‌های منتشر شده به تازگی یک ماژول جدید از تروجان بانکی TrickBot شناسایی شده است که به مهاجمان اجازه می‌دهد از سیستم‌های در معرض خطر برای اجرای حملات جستجوی فراگیر (brute-force) علیه دیگر سیستم‌ها که در آن‌ها پروتکل فعال RDP فعال است، استفاده کنند.

این ماژول که «rdpScanDll» نام دارد در روز ۳۰ ژانویه کشف شده و به گفته محققان امنیتی شرکت بیت‌دیفندر کماکان در حال توسعه است.

بر اساس گفته‌های محققان، ماژول «rdpScanDll brute-forcing» تاکنون بیش از ۶ هزار سرور ویندوزی متعلق به شرکت‌های مخابراتی، آموزشی و مالی را در ایالات متحده و هنگ‌کنگ را هدف خود قرار داده است.

گفته می‌شود سازندگان بدافزار TrickBot، متخصص در انتشار ماژول‌ها و نسخه‌های جدیدتر تروجان به منظور گسترش و پالایش قابلیت‌های این بدافزار شناخته می‌شوند.

ماژول حمله جستجوی فراگیر بدافزار TrickBot برای پروتکل RDP چگونه کار می‌کند؟

ابتدا بدافزار TrickBot برای استفاده از این ماژول، یک پوشه شامل پی‌لود‌ رمزگذاری شده به همراه فایل‌های پیکر‌بندی مرتبط به سرور‌های کنترل و فرمان (C2) ایجاد می‌کند.

سپس یک URL با ساختار hxxps[:]//C&C/tag/computerID/controlEndpoint برای ارتباط برقرار کردن با سرور‌ کنترل و فرمان را به مهاجمان ارسال می‌کند که از طریق آن، مهاجمان حملات را برنامه‌ریزی و اجرا می‌کنند.

تاریخچه‌ای از قابلیت‌های در حال تکامل بدافزار TrickBot

تروجان TrickBot فعالیت خود را به عنوان یک تروجان بانکی در سال ۲۰۱۶ آغاز کرد. اما این تروجان از آن زمان پیشرفت‌های بسیاری داشته و اکنون می‌تواند موجب انتشار بدافزار‌های دیگر در دستگاه‌های آلوده شود. این بدافزار اطلاعات مالی و بانکی مانند کیف‌های پول بیت‌کوین و اطلاعات حساب‌های ایمیل را جمع‌‌آوری و به مهاجمان ارسال می‌کند.

کمپین‌های هرزنامه‌ انتشار این بدافزار که تروجان TrickBot را به دست قربانیان می‌رساند، از نشان‌های تجاری معروف که برای قربانی آشنا به نظر می‌رسند، به‌عنوان یک پوشش برای خود استفاده می‌کند.

این ایمیل‌ها معمولاً حاوی یک فایل مایکروسافت ورد یا اکسل هستند که هنگام اجرا شدن از کاربر درخواست می‌کنند ماکروها را فعال کند؛ بنابراین یک VBScript برای اجرای اسکریپت پاورشل جهت بارگیری بدافزار اجرا می‌شود.

بدافزار TrickBot همچنین به عنوان یک پی‌لود ثانویه توسط بدافزار‌های دیگر مانند Emotet در دستگاه‌های آلوده قرار داده می‌شود. این بدافزار جهت جلوگیری از شناسایی، نرم‌افزار امنیتی پیش‌فرض در سیستم عامل ویندوز (Windows Defender) را غیرفعال و حذف می‌کند.

این امر موجب شده است که شرکت مایکروسافت سال گذشته یک قابلیت Tamper Protection برای امنیت این نرم‌افزار علیه تغییرات مخرب و تایید نشده در قابلیت‌های امنیتی ایجاد و منتشر کند.

 

توضیحات بیشتر در:

TrickBot Now Exploits Infected PCs to Launch RDP Brute Force Attacks