بر اساس گزارشهای منتشر شده به تازگی یک ماژول جدید از تروجان بانکی TrickBot شناسایی شده است که به مهاجمان اجازه میدهد از سیستمهای در معرض خطر برای اجرای حملات جستجوی فراگیر (brute-force) علیه دیگر سیستمها که در آنها پروتکل فعال RDP فعال است، استفاده کنند.
این ماژول که «rdpScanDll» نام دارد در روز ۳۰ ژانویه کشف شده و به گفته محققان امنیتی شرکت بیتدیفندر کماکان در حال توسعه است.
بر اساس گفتههای محققان، ماژول «rdpScanDll brute-forcing» تاکنون بیش از ۶ هزار سرور ویندوزی متعلق به شرکتهای مخابراتی، آموزشی و مالی را در ایالات متحده و هنگکنگ را هدف خود قرار داده است.
گفته میشود سازندگان بدافزار TrickBot، متخصص در انتشار ماژولها و نسخههای جدیدتر تروجان به منظور گسترش و پالایش قابلیتهای این بدافزار شناخته میشوند.
ماژول حمله جستجوی فراگیر بدافزار TrickBot برای پروتکل RDP چگونه کار میکند؟
ابتدا بدافزار TrickBot برای استفاده از این ماژول، یک پوشه شامل پیلود رمزگذاری شده به همراه فایلهای پیکربندی مرتبط به سرورهای کنترل و فرمان (C2) ایجاد میکند.
سپس یک URL با ساختار hxxps[:]//C&C/tag/computerID/controlEndpoint برای ارتباط برقرار کردن با سرور کنترل و فرمان را به مهاجمان ارسال میکند که از طریق آن، مهاجمان حملات را برنامهریزی و اجرا میکنند.
تاریخچهای از قابلیتهای در حال تکامل بدافزار TrickBot
تروجان TrickBot فعالیت خود را به عنوان یک تروجان بانکی در سال ۲۰۱۶ آغاز کرد. اما این تروجان از آن زمان پیشرفتهای بسیاری داشته و اکنون میتواند موجب انتشار بدافزارهای دیگر در دستگاههای آلوده شود. این بدافزار اطلاعات مالی و بانکی مانند کیفهای پول بیتکوین و اطلاعات حسابهای ایمیل را جمعآوری و به مهاجمان ارسال میکند.
کمپینهای هرزنامه انتشار این بدافزار که تروجان TrickBot را به دست قربانیان میرساند، از نشانهای تجاری معروف که برای قربانی آشنا به نظر میرسند، بهعنوان یک پوشش برای خود استفاده میکند.
این ایمیلها معمولاً حاوی یک فایل مایکروسافت ورد یا اکسل هستند که هنگام اجرا شدن از کاربر درخواست میکنند ماکروها را فعال کند؛ بنابراین یک VBScript برای اجرای اسکریپت پاورشل جهت بارگیری بدافزار اجرا میشود.
بدافزار TrickBot همچنین به عنوان یک پیلود ثانویه توسط بدافزارهای دیگر مانند Emotet در دستگاههای آلوده قرار داده میشود. این بدافزار جهت جلوگیری از شناسایی، نرمافزار امنیتی پیشفرض در سیستم عامل ویندوز (Windows Defender) را غیرفعال و حذف میکند.
این امر موجب شده است که شرکت مایکروسافت سال گذشته یک قابلیت Tamper Protection برای امنیت این نرمافزار علیه تغییرات مخرب و تایید نشده در قابلیتهای امنیتی ایجاد و منتشر کند.
توضیحات بیشتر در:
- TrickBot Now Exploits Infected PCs to Launch RDP Brute Force Attacks