تهدیداتخبر

سخت تر شدن امکان تشخیص بدافزار Trickbot با به روزرسانی آن

نسخه به روز شده ای از بدافزار Trickbot منتشر شده است که مجهز به یک روش انتشار جدید شده که شناسایی آن را بسیار سخت‌تر می‌کند.

Trickbot که ابتدا در سال ۲۰۱۶ میلادی به عنوان یک تروجان بانکی شروع به کار کرد، در سال‌های اخیر همواره دستخوش تغییرات جدیدی شده و از آن برای انجام کارهایی همچون سرقت اطلاعات، ایجاد درب پشتی در سیستم‌های آلوده، عمل به عنوان درگاهی برای انتشار سایر بدافزارها به شبکه‌های مورد نظر استفاده شده است.

این بدافزار همچنین می‌تواند مانند یک بات‌نت هم عمل کرده تا تعداد قربانی‌های سایبری خود را افزایش دهد. معمولاً از آن در ایمیل‌های فیشینگ برای انتشار پیوست‌های آلوده استفاده می‌شود. در صورت باز کردن این ضمیمه‌های مخرب در سیستم کاربر، بدافزار  Trickbot اجرا شده و می‌تواند از آسیب پذیری EternalBlue برای نفوذ در شبکه استفاده کند.

لازم به ذکر است که آسیب پذیری EternalBlue ویندوز که در باج‌افزار WannaCry مورد استفاده قرار گرفت، یکی از اجزای کلیدی و مهم برای گسترش و توزیع Trickbot است. با وجود این که بیش از سه سال از انتشار وصله امنیتی برای این آسیب پذیری می گذرد اما مجرمان سایبری همچنان از آن استفاده می‌کنند؛ چون بعضی از سازمان‌ها هنوز این وصله امنیتی را نصب نکرده‌اند!

 

جزییات بدافزار Trickbot

محققان شرکت Palo Alto جزییاتی از جدیدترین به روزرسانی بدافزار Trickbot را منتشر کرده‌اند. طبق گفته های آنها، از ابتدای ماه آوریل ۲۰۲۰ این بدافزار برای جلوگیری از تشخیص خود، از روش قوی‌تری استفاده می کند.

Trickbot ساختار ماژولی داشته و به همین دلیل امکان اضافه کردن یا حذف قابلیت‌های مختلف به آن وجود دارد. این ویژگی باعث آسان‌تر شدن هر چه بیشتر تغییرات اخیر در این نسخه از بدافزار شده است. یکی از ماژول های این بدافزار به نام “Mworm” مسئول گسترش آن از سپتامبر سال گذشته بوده است. محققان در رایانه ای با سیستم عامل ویندوز ۷ متوجه شدند که این ماژول، ترافیک HTPP بدافزار Trickbot را به میزان قابل توجهی تغییر داده بود.

زمانی که Trickbot یک کنترل‌گر دامنه را آلوده می‌کند، این بدافزار از روی حافظه سیستم قربانی اجرا می‌شود تا هیچ اثری بر روی سیستم آلوده باقی نمانده و فرایند تشخیص آن را سخت‌تر از گذشته کند. علاوه بر این، باینری مورد استفاده Nworm هنگام انتقال به اینترنت، تغییرات قابل توجهی پیدا می‌کند. این تغییرات به مخفی کردن هر چه بیشتر فعالیت های بدافزار کمک می‌کنند.

Brad Duncan تحلیلگر هوش تهدید سایبری شرکت Palo Alto Networks معتقد است که: «این جدیدترین سری تغییرات TrickBot در چشم انداز تهدیدهای سایبری جاری است».

در ماه مارس ۲۰۲۰، توسعه دهندگان بدافزار Trickbot قابلیت‌هایی را به آن اضافه کرده اند که ظاهراً برای انجام جاسوسی سایبری بر ضد اهدافی خاص، از جمله شرکت‌های ارایه دهنده سرویس‌های ارتباطات راه دور، دانشگاه‌ها و سرویس‌های مالی طراحی شده است.

 

روش های محافظت در برابر این بدافزار

با وجود قدرتمند بودن بدافزار Trickbot سازمان‌ها می‌توانند برای محافظت از خودشان کارهای زیادی انجام دهند. پیروی از توصیه‌های امنیتی مثل نصب جدیدترین نسخه سیستم عامل ویندوز می‌تواند مانع از آلودگی‌های این بدافزار شود.

سازمان‌ها همچنین می‌توانند با دریافت و نصب به موقع به ­روزرسانی‌های امنیتی، از قربانی شدن خودشان در برابر Trickbot و سایر بدافزارهایی که در کمپین‌های هکری مخرب از آنها استفاده می شود، جلوگیری کنند.

 

منبع: zdnet

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شانزده + سه =

دکمه بازگشت به بالا
بستن
بستن