Понедельник, 30 ноября, 05:56
дома безопасность TrickBot: использует зараженные компьютеры для запуска атак RDP методом перебора

TrickBot: использует зараженные компьютеры для запуска атак RDP методом перебора

Недавно был обнаружен новый модуль для банковского трояна TrickBot, который позволяет злоумышленникам эксплуатировать взломанные системы, чтобы запускать атаки методом "грубой силы" против выбранных систем Windows, использующих Интернет-соединение RDP (протокол удаленного рабочего стола).

Модуль под названием «rdpScanDll» был обнаружен 30 января и, как сообщается, все еще находится в среде, говорится в отчете Bitdefender, опубликованном в The Hacker.

По словам исследователей, модуль грубого принуждения rdpScanDll до сих пор пытался нацелиться на 6.013 XNUMX RDP-серверов, принадлежащих предприятиям на местах. связь, образование и финансы в США и Гонконге.

Создатели вредоносного ПО TrickBot специализируются на выпуске новых модулей и версий трояна, стремясь расширить и улучшить его возможности.

«Гибкость конструкции модуля сделала TrickBot очень сложной и сложной вредоносной программой, способной к широкому диапазону вредоносная деятельность", - сказали исследователи.

«Надстройки для сокрытия конфиденциальных данных OpenSSH и OpenVPN на устройствах, выполняющих атаки замены. SIM взять под контроль номер телефона и даже отключить их встроенные механизмы безопасности Windows перед загрузкой основных модулей TrickBot полностью интегрируется ».

Bazar backdoor-Trickbot-Trojan-кампании

Как работает модуль грубой силы TrickBot RDP?

Когда TrickBot начинает выполнение, он создает папку, содержащую зашифрованные полезные данные и связанные файлы конфигурации, которые включают в себя список командно-контрольных (C2) серверов, которые плагин чтобы получить команды, которые будут выполнены.

Согласно Bitdefender, плагин rdpScanDll использует файл конфигурации совместно с другим модулем под названием «vncDll» при использовании стандартного формата. URL общаться с новыми серверами C2.

В то время как функция проверки проверяет соединение RDP из целевого списка, операция trybrute пытается выполнить операцию грубой силы на выбранной цели, используя предопределенный список имен пользователей и паролей, полученных от конечных точек / rdp / names. «/ Rdp / dict» соответственно.

По словам исследователей, "грубая мода" все еще находится в стадии разработки. Мало того, что он включает в себя набор исполняемые функции не вызывается, но режим «не извлекает список пользователей, заставляя плагин использовать нулевые пароли и имена пользователей для аутентификации в целевом списке».

Когда исходный список целевых IP-адресов, собранных через "/ rdp / domains", исчерпан, плагин получает еще один набор новых IP используя вторую конечную точку «/ rdp / over».

Два списка, которые включают 49 и 5.964 IP-адресов, включали цели, найденные в США и Гонконг и охватывают телекоммуникации, образование, финансы и научные исследования.

История развития возможностей

Распространенный через фишинговые кампании по электронной почте, TrickBot начал свою жизнь в качестве банковского трояна в 2016 году, способствуя финансовым кражам. С тех пор он эволюционировал для доставки других типов вредоносных программ, в том числе печально известного Ransomware RyukДействуйте как информационный вор, вязайте биткойн-кошельки и собирайте электронные письма и учетные данные.

В кампаниях по рассылке вредоносного спама, предоставляемых TrickBot, используется имя, которое может знать получатель, например счета-фактуры от бухгалтерских и финансовых компаний.

Электронные письма обычно включают вложение, такое как документ Microsoft Word или Excel, которое при открытии предложит пользователю включить их. макрос - таким образом выполняя VBScript для выполнения скрипта PowerShell скачать вредоносное ПО.

TrickBot также является дополнительной полезной нагрузкой от других вредоносных программ, в первую очередь от спам-кампании на основе ботнета Emotet. Было обнаружено, что для того, чтобы быть настойчивым и избежать обнаружения, вредоносное ПО создает запланированную задачу и службу и даже отключает и удаляет антивирус Защитника Windows.

Это привело к тому, что Microsoft разработала функцию защиты от несанкционированного доступа для защиты от злонамеренных и несанкционированных изменений функций безопасности в прошлом году.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Умные часы Samsung Galaxy: как подключить их к новому мобильному телефону

Подключение умных часов Samsung Galaxy к новому мобильному телефону может быть сложным или неудобным процессом, так как это не ...

Какие программы-вымогатели были самыми популярными и опасными в 2020 году?

2020 год был очень удачным для банд вымогателей. При резком переходе на пульт ...

Как получить все заказы Amazon в один день

Если вы один из тех, кто заказывает много вещей на Amazon, но вы хотите получать все свои посылки одинаково ...

Как очистить данные просмотра Safari с помощью ярлыка

Если вы используете Safari на Mac и хотите быстро очистить историю браузера, не выполняя поиск по всему ...

COVID-19: количество DDoS-атак на электронную коммерцию увеличилось в четыре раза

Количество DDoS-атак, нацеленных на электронную коммерцию в Европе, за последние восемь месяцев увеличилось в четыре раза. Согласно опросу Stormwall, в период с февраля ...

2020: 1/5 потребителей стали жертвами кражи личных данных

Каждый пятый человек пострадал от мошенничества, связанного с кражей личных данных в 2020 году ....

Как настроить двойную SIM-карту с eSIM на iPhone?

Если у вас iPhone XR, XS, iPhone XS Max или новее, у вас есть функция eSIM. Значит, есть только ...

Как выбрать, какие расширения будут отображаться на панели инструментов Edge

Расширения Microsoft Edge могут сделать ваш браузер более полезным. Но иногда может не понравиться ...

Вакцины COVID-19: Северная Корея взламывает лекарства

Южная Корея, если быть точным, ее разведывательная служба сорвала попытки Северной Кореи вторгнуться в южнокорейские компании ...

Drupal: обновления безопасности для борьбы с эксплойтами

Разработчики системы управления контентом (CMS) Drupal выпустили экстренные обновления безопасности из-за наличия некоторых эксплойтов, которые могут ...