Исследователи связали разработчиков TrickBot с вымогателем Diavol - «Новости»

  • 10:30, 06-июл-2021
  • Новости / Добавления стилей / Изображения / Вёрстка / Преимущества стилей / Самоучитель CSS / Отступы и поля / Сайтостроение
  • Соломония
  • 0

Специалисты компании Fortinet опубликовали отчет, в котором сообщают, что создатели известной малвари TrickBot (эту хак-группу обычно называют Wizard Spider) могут быть связаны разработкой нового вымогателя Diavol.


Пейлоады шифровальщиков Diavol и Conti были развернуты в различных системах в начале июня 2021 года. Отметается, что эти вымогатели очень похожи и их объединяет многое, от использования операций асинхронного I/O во время шифрования файлов, до использования практически идентичных параметров командной строки для одинаковых функций (например, создание логов, шифрование дисков и сетевых ресурсов, сканирование сети).


Однако прямой связи между вымогателем Diavol и авторами TrickBot эксперты все же найти не смогли, к тому же обнаружили ряд немаловажных различный. К примеру, Diavol не имеет встроенных проверок, предотвращающих срабатывание пейлоада на системах в России и странах СНГ. Также новая малварь  не похищает данные перед шифрованием.


 «Параметры, используемые злоумышленниками, наряду с ошибками в жестко закодированной конфигурации, намекают, что Diavol — это новый инструмент в арсенале его операторов, к которому они еще не до конца привыкли», — пишут исследователи.


Между тем, на днях компания Kryptos Logic сообщила, что обнаружила изменения в коде самой малвари TrickBot. По данным экспертов, с июня 2021 года TrickBot запускает на зараженных машинах новый модуль, содержащий обновленную версию старого банковского компонента, который пытается похитить учетные данные для входа в электронный банкинг.


Данный компонент был переписан и теперь включает новые методы внедрения вредоносного кода на сайты банков. Эксперты предполагают, что новый код скопирован со старого банкера Zeus: инжекты работают путем проксирования трафика через локальный SOCKS-сервер. Если в трафике встречаются страницы входа в онлайн-банкинг, трафик модифицируется, чтобы похитить учетные данные или выполнить другие вредоносные действия. Предполагается, что таким образом разработчики TrickBot пытаются составить конкуренцию другим банковским троянам и переманить часть их клиентов.





TrickBot  — один из крупнейших и наиболее успешных вредоносов на сегодняшний день. Малварь была замечена впервые еще в 2015 году, вскоре после серии громких арестов, которые существенно изменили состав хак-группы Dyre.


За прошедшие годы малварь эволюционировала из классического банковского трояна, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров, до шифровальщиков и инфостилеров).





Осенью 2020 года была проведена масштабная операция, направленная на ликвидацию TrickBot. В ней принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а та­кже ESET, Lumen, NTT и Symantec. Тогда многие эксперты писали, что хотя Microsoft удалось отключить инфраструктуру TrickBot, скорее всего, ботнет «выживет», и в конечном итоге его операторы введут в строй новые управляющие серверы, продолжив свою активностью. К сожалению, именно так и произошло.



 


Специалисты компании Fortinet опубликовали отчет, в котором сообщают, что создатели известной малвари TrickBot (эту хак-группу обычно называют Wizard Spider) могут быть связаны разработкой нового вымогателя Diavol. Пейлоады шифровальщиков Diavol и Conti были развернуты в различных системах в начале июня 2021 года. Отметается, что эти вымогатели очень похожи и их объединяет многое, от использования операций асинхронного I/O во время шифрования файлов, до использования практически идентичных параметров командной строки для одинаковых функций (например, создание логов, шифрование дисков и сетевых ресурсов, сканирование сети). Однако прямой связи между вымогателем Diavol и авторами TrickBot эксперты все же найти не смогли, к тому же обнаружили ряд немаловажных различный. К примеру, Diavol не имеет встроенных проверок, предотвращающих срабатывание пейлоада на системах в России и странах СНГ. Также новая малварь не похищает данные перед шифрованием. «Параметры, используемые злоумышленниками, наряду с ошибками в жестко закодированной конфигурации, намекают, что Diavol — это новый инструмент в арсенале его операторов, к которому они еще не до конца привыкли», — пишут исследователи. Между тем, на днях компания Kryptos Logic сообщила, что обнаружила изменения в коде самой малвари TrickBot. По данным экспертов, с июня 2021 года TrickBot запускает на зараженных машинах новый модуль, содержащий обновленную версию старого банковского компонента, который пытается похитить учетные данные для входа в электронный банкинг. Данный компонент был переписан и теперь включает новые методы внедрения вредоносного кода на сайты банков. Эксперты предполагают, что новый код скопирован со старого банкера Zeus: инжекты работают путем проксирования трафика через локальный SOCKS-сервер. Если в трафике встречаются страницы входа в онлайн-банкинг, трафик модифицируется, чтобы похитить учетные данные или выполнить другие вредоносные действия. Предполагается, что таким образом разработчики TrickBot пытаются составить конкуренцию другим банковским троянам и переманить часть их клиентов. TrickBot has brought back their bank fraud module, which has been updated to support Zeus-style webinjects. This could suggest they are resuming their bank fraud operation, and plan to expand access to those unfamiliar with their internal webinject format. https://t.co/YrS2bVZ0Xt

Другие новости

Реклама


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!