ГлавнаябезопасностьБэкдор базара связан с банковскими троянскими кампаниями Trickbot

Бэкдор базара связан с банковскими троянскими кампаниями Trickbot

Новая семья вредоносных программ кажется связано с ними хакерам скрывается за кампаниями Trickbot, трояна, который крадет информацию. Ее исследователи Cybereason Nocturnus сообщил, что с апреля бэкдор использовался в атаках на Европу и все США, В частности, в основе этих атак были организации, связанные с здравоохранением, ИТ, путешествиями, строительством, а также финансовые учреждения. Кроме того, исследователи отметили, что первые появились в апреле вариации вредоносных программ, однако, то наблюдался «разрыв» примерно на два месяца, с появлением нового образца в июне с улучшенным кодом и поправки.

Trickbot - это банковский троян, который ворует информацию и используется на нападки нацеленный на финансовый услуги и организации. За прошедшие годы вредоносное ПО превратилось в похитителя данных и Ботнет посредник, с инфраструктурой, которая позволяет его операторам изменять код и улучшать его наступательные возможности.
Ранее в этом году операторы Trickbot создали PowerTrick, бэкдор, предназначенный для "ценных" целей. Внедрение вредоносного ПО Bazar, которое представляет собой комбинацию загрузчик и бэкдор - еще одно «оружие», используемое в кампаниях Trickbot.

Трикотажный троян

Οι фишинг кампании, связанные с пандемией Covid-19жалобы клиентов и заработная плата сотрудников используются для распространения вредоносных программ. В то время как большинство кампаний Trickbot используют вредоносные вложения, бэкдор Bazar распространяется через фишинг e-mail отправлено через почтовую маркетинговую платформу Sendgrid, которые ссылаются на целевые страницы с «приманкой» для предварительного просмотра документов, размещенных в Google Docs.


Чтобы привлечь потенциальных жертв для загрузки вредоносных документов, на страницах утверждается, что предварительный просмотр недоступен. После загрузки и выполнения документов элемент загрузчика приводит к зараженной системе. Кроме того, у загрузчиков Bazar и Trickbot один и тот же код. Затем загрузчик попытается импортировать в svchost, explorer или cmd, чтобы убедиться, что он запускается автоматически «любой ценой», согласно Cybereason, в то время как запланирована задача по загрузке вредоносного ПО при запуске.


Бэкдор Базар загружается непосредственно в память, чтобы предотвратить его обнаружение. Базар, из которого три версии были определены на разных этапах разработки, собирает и ворует данные системы, создает соединение с командно-контрольной системой (C2) и может выполнять множество функций. Возможности включают создание уникального идентификатора для каждого зараженного устройства, загрузку и выполнение DLL, завершение процессов и самоуничтожение.

кампании

Согласно Cybereason, комбинация загрузчика и бэкдора может быть использована для загрузки и разработки дополнительных полезных нагрузок вредоносных программ, таких как вымогателейа также для извлечения информации и передачи ее в C2 злоумышленника. Кроме того, домены, используемые для облегчения работы Bazar Loader и Backdoor, основаны на блокчейне, включая EmerDNS.


Исследователи Cybereason утверждают, что, согласно их исследованию, хакерам потребовалось время, чтобы изучить и улучшить троянский код Trickbot, сделав вредоносное ПО более «коварным». Наконец, они отмечают, что, хотя это вредоносное ПО все еще находится на стадии разработки, последние улучшения и его повторное появление могут быть признаком появления новой серьезной угрозы.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Pohackontas
Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.
spot_img

ЖИВЫЕ НОВОСТИ