باند جرایم اینترنتی TrickBot صدمین نسخه از بدافزار TrickBot را با ویژگیهای اضافی برای فرار از شناسایی منتشر کرده است.
TrickBot یک بدافزار است که معمولاً از طریق ایمیلهای مخرب فیشینگ یا سایر بدافزارها نصب میشود. هنگام نصب TrickBot بی سر و صدا روی رایانه قربانی اجرا میشود در حالی که ماژولهای دیگر را برای انجام کارهای مختلف بارگیری میکند.
این ماژولها طیف وسیعی از فعالیتهای مخرب را شامل میشوند، از جمله: سرقت پایگاه داده Active Directory Services دامنه، گسترش در شبکه، قفل صفحه، سرقت کوکیها و رمزهای عبور مرورگر و سرقت کلیدهای OpenSSH.
TrickBot با دسترسی به باج افزارهای Ryuk و Conti حمله را با تخریب بیشتری به پایان میرساند.
در این نسخه، TrickBot اکنون DLL خود را به Windows wermgr.exe (گزارش مشکل Windows) که مستقیماً از حافظه با استفاده از کد پروژه "MemoryModule" قابل اجرا است تزریق میکند.
صفحه GitHub پروژه توضیح میدهد: "MemoryModule کتابخانهای است که میتواند با استفاده از آن DLL را به طور کامل از حافظه بارگیری کند بدون اینکه ابتدا روی دیسک ذخیره شود."
TrickBot در ابتدا به عنوان یک executable اجرا میشود، خودش را به wermgr.exe تزریق میکند و سپس TrickBot اصلی را خاتمه میدهد.
طبق گفته Kremez، هنگام تزریق DLL این کار را با استفاده از Doppel Hollowing یا doppelganging انجام میدهد تا از شناسایی توسط نرم افزارهای امنیتی جلوگیری کند.
TrickBot یک بدافزار است که معمولاً از طریق ایمیلهای مخرب فیشینگ یا سایر بدافزارها نصب میشود. هنگام نصب TrickBot بی سر و صدا روی رایانه قربانی اجرا میشود در حالی که ماژولهای دیگر را برای انجام کارهای مختلف بارگیری میکند.
این ماژولها طیف وسیعی از فعالیتهای مخرب را شامل میشوند، از جمله: سرقت پایگاه داده Active Directory Services دامنه، گسترش در شبکه، قفل صفحه، سرقت کوکیها و رمزهای عبور مرورگر و سرقت کلیدهای OpenSSH.
TrickBot با دسترسی به باج افزارهای Ryuk و Conti حمله را با تخریب بیشتری به پایان میرساند.
در این نسخه، TrickBot اکنون DLL خود را به Windows wermgr.exe (گزارش مشکل Windows) که مستقیماً از حافظه با استفاده از کد پروژه "MemoryModule" قابل اجرا است تزریق میکند.
صفحه GitHub پروژه توضیح میدهد: "MemoryModule کتابخانهای است که میتواند با استفاده از آن DLL را به طور کامل از حافظه بارگیری کند بدون اینکه ابتدا روی دیسک ذخیره شود."
TrickBot در ابتدا به عنوان یک executable اجرا میشود، خودش را به wermgr.exe تزریق میکند و سپس TrickBot اصلی را خاتمه میدهد.
طبق گفته Kremez، هنگام تزریق DLL این کار را با استفاده از Doppel Hollowing یا doppelganging انجام میدهد تا از شناسایی توسط نرم افزارهای امنیتی جلوگیری کند.