Воскресенье, 5 июля, 22:35
дома безопасность TrickBot: использует зараженные компьютеры для запуска атак RDP методом перебора

TrickBot: использует зараженные компьютеры для запуска атак RDP методом перебора

Недавно был обнаружен новый модуль для банковского трояна TrickBot, который позволяет злоумышленникам эксплуатировать взломанные системы, чтобы запускать атаки методом "грубой силы" против выбранных систем Windows, использующих Интернет-соединение RDP (протокол удаленного рабочего стола).

Модуль, получивший название «rdpScanDll», был обнаружен 30 января и, как говорят, все еще находится в среде, сообщил Bitdefender в отчете, опубликованном в The Hacker.

По словам исследователей, модуль грубого принуждения rdpScanDll до сих пор пытался нацелиться на 6.013 XNUMX RDP-серверов, принадлежащих предприятиям на местах. связь, образование и финансы в США и Гонконге.

Создатели вредоносного ПО TrickBot специализируются на выпуске новых модулей и версий трояна, стремясь расширить и улучшить его возможности.

«Гибкость, которую обеспечивает модульная конструкция, превратила TrickBot в очень сложное и изощренное вредоносное ПО, способное работать с широким спектром приложений. вредоносная деятельность"Исследователи сказали.

«Из надстроек, чтобы скрыть конфиденциальные данные OpenSSH и OpenVPN, в юнитах, которые выполняют замену атак SIM взять под контроль номер телефона и даже отключить их встроенные механизмы безопасности Windows до выхода из строя основных модулей TrickBot полностью интегрируется ».

TrickBot

Как работает модуль грубой силы TrickBot RDP?

Когда TrickBot начинает выполнение, он создает папку, содержащую зашифрованные полезные данные и связанные файлы конфигурации, которые включают в себя список командно-контрольных (C2) серверов, которые плагин чтобы получить команды, которые будут выполнены.

Согласно Bitdefender, плагин rdpScanDll делит файл конфигурации с другим модулем, который называется «vncDll», при использовании стандартного формата. URL общаться с новыми серверами C2.

В то время как функция «check» проверяет соединение RDP из целевого списка, функция «trybrute» пытается выполнить действие грубой силы на выбранной цели, используя предопределенный список имен пользователей и паролей, полученных из конечных точек «/ rdp / names» "/ Rdp / dict" соответственно.

По словам исследователей, "грубая мода" все еще находится в стадии разработки. Мало того, что он включает в себя набор исполняемые функции которые не вызываются, но режим «не извлекает список пользователей, заставляя плагин использовать нулевые пароли и имена пользователей в целевом списке».

Как только исходный список целевых IP-адресов, собранных через "/ rdp / domains", исчерпан, плагин получает другой набор новых IP используя вторую конечную точку «/ rdp / over».

Два списка, которые включают 49 и 5.964 IP-адресов, включали цели, найденные в США и Гонконг и охватывают телекоммуникации, образование, финансы и научные исследования.

История развития возможностей

Разобравшись в фишинговых почтовых кампаниях, TrickBot начал свою жизнь в качестве банковского трояна в 2016 году, способствуя краже финансовых средств. С тех пор он эволюционировал для доставки других типов вредоносных программ, в том числе печально известных Ransomware RyukДействуйте как информационный вор, вязайте биткойн-кошельки и собирайте электронные письма и учетные данные.

В кампаниях по рассылке вредоносного спама, предоставляемых TrickBot, используется имя, которое может знать получатель, например счета-фактуры от бухгалтерских и финансовых компаний.

Электронные письма обычно включают вложение, такое как документ Microsoft Word или Excel, которое при открытии предложит пользователю включить их. макрос - таким образом, запуск VBScript для выполнения сценария PowerShell скачать вредоносное ПО.

TrickBot также отбрасывается как вторичная полезная нагрузка от других вредоносных программ, в основном из спам-кампании на базе бот-сетей Emotet. Было обнаружено, что для обеспечения устойчивости и предотвращения обнаружения вредоносные программы создают запланированные задачи и службы и даже отключают и удаляют антивирус Защитника Windows.

Это привело к тому, что Microsoft разработала функцию защиты от несанкционированного доступа для защиты от злонамеренных и несанкционированных изменений функций безопасности в прошлом году.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

LIVE NEWS

Try2Cry Ransomware: заражает флешки

Новый вымогатель, известный как Try2Cry, пытается «достучаться» до других компьютеров Windows, заражая USB-накопители, используя ярлыки Windows (файлы LNK) ...

Мошенничество с биткойнами привлекает людей с "приманкой" знаменитостей!

Многоэтапное мошенничество с биткойнами раскрыло и использовало личную информацию (PII) для обмана пользователей, побуждая их подписаться на ...

iPhone: что нужно сделать, чтобы повысить вашу безопасность?

Одной из самых важных функций iOS является безопасность. Редко вредоносное приложение переходит на ...

COVID-19: новое исследование по поиску антител у доноров крови

Американский Красный Крест изучает кровь, полученную в результате пожертвований, и ищет антитела против COVID-19, которые дадут ее ...

Цифровая трансформация и бизнес: что означает его провал?

Цифровая трансформация обычно позволяет компаниям превзойти своих конкурентов и избавиться от методов, которые ...

Коваксин: Индия выпускает вакцину COVID-19 в августе

Вся планета ждет выпуска вакцины против коронавируса, в то время как клинические испытания начались во многих странах мира ....

iOS 13.5.1: пользователи iPhone сообщают о проблемах батареи

Заметили ли вы какие-либо изменения в вашем iPhone в последнее время? Может быть, например, батарея быстро разряжается ...

Avaddon Ransomware: атаки через макросы Excel 4.0

Вчера Microsoft объявила, что Avaddon Ransomware распространился на этой неделе с помощью старой техники, которая снова вышла на первый план. ...

Apple: запрещает обновление китайских приложений без разрешения

Apple запрещает разработчикам обновлять существующие приложения в китайском App Store, если они не одобрены правительством.

Австралия: тысячи аккаунтов MyGov продаются в Dark Web

Доступ к более чем 3600 учетным записям MyGov продается в темной сети, что потенциально может привести к мошенничеству и краже личных данных тысяч австралийцев.