Исследователи связали разработчиков TrickBot с вымогателем Diavol - «Новости»
- 10:30, 06-июл-2021
- Новости / Добавления стилей / Изображения / Вёрстка / Преимущества стилей / Самоучитель CSS / Отступы и поля / Сайтостроение
- Соломония
- 0
Специалисты компании Fortinet опубликовали отчет, в котором сообщают, что создатели известной малвари TrickBot (эту хак-группу обычно называют Wizard Spider) могут быть связаны разработкой нового вымогателя Diavol.
Пейлоады шифровальщиков Diavol и Conti были развернуты в различных системах в начале июня 2021 года. Отметается, что эти вымогатели очень похожи и их объединяет многое, от использования операций асинхронного I/O во время шифрования файлов, до использования практически идентичных параметров командной строки для одинаковых функций (например, создание логов, шифрование дисков и сетевых ресурсов, сканирование сети).
Однако прямой связи между вымогателем Diavol и авторами TrickBot эксперты все же найти не смогли, к тому же обнаружили ряд немаловажных различный. К примеру, Diavol не имеет встроенных проверок, предотвращающих срабатывание пейлоада на системах в России и странах СНГ. Также новая малварь не похищает данные перед шифрованием.
«Параметры, используемые злоумышленниками, наряду с ошибками в жестко закодированной конфигурации, намекают, что Diavol — это новый инструмент в арсенале его операторов, к которому они еще не до конца привыкли», — пишут исследователи.
Между тем, на днях компания Kryptos Logic сообщила, что обнаружила изменения в коде самой малвари TrickBot. По данным экспертов, с июня 2021 года TrickBot запускает на зараженных машинах новый модуль, содержащий обновленную версию старого банковского компонента, который пытается похитить учетные данные для входа в электронный банкинг.
Данный компонент был переписан и теперь включает новые методы внедрения вредоносного кода на сайты банков. Эксперты предполагают, что новый код скопирован со старого банкера Zeus: инжекты работают путем проксирования трафика через локальный SOCKS-сервер. Если в трафике встречаются страницы входа в онлайн-банкинг, трафик модифицируется, чтобы похитить учетные данные или выполнить другие вредоносные действия. Предполагается, что таким образом разработчики TrickBot пытаются составить конкуренцию другим банковским троянам и переманить часть их клиентов.
TrickBot has brought back their bank fraud module, which has been updated to support Zeus-style webinjects. This could suggest they are resuming their bank fraud operation, and plan to expand access to those unfamiliar with their internal webinject format. https://t.co/YrS2bVZ0Xt
— MalwareTech (@MalwareTechBlog) July 1, 2021
TrickBot — один из крупнейших и наиболее успешных вредоносов на сегодняшний день. Малварь была замечена впервые еще в 2015 году, вскоре после серии громких арестов, которые существенно изменили состав хак-группы Dyre.
За прошедшие годы малварь эволюционировала из классического банковского трояна, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров, до шифровальщиков и инфостилеров).
Осенью 2020 года была проведена масштабная операция, направленная на ликвидацию TrickBot. В ней принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а также ESET, Lumen, NTT и Symantec. Тогда многие эксперты писали, что хотя Microsoft удалось отключить инфраструктуру TrickBot, скорее всего, ботнет «выживет», и в конечном итоге его операторы введут в строй новые управляющие серверы, продолжив свою активностью. К сожалению, именно так и произошло.
Комментарии (0)