تهدیداتخبرگزارش‌ها

تروجان Trickbot با پنهان شدن پشت نقاب جی.پی مورگان قربانی می‌گیرد

تروجان Trickbot با شکلی جدید و با پنهان شدن در پشت نام  جی.پی مورگان( Morgan & Chase)، با حملاتی مخرب سیستم‌های هدف خود را آلوده می‌کند. بدافزار Trickbot از اوایل سال ۲۰۱۶ به عنوان یک تروجان مرد در مرورگر (man-in-the-browser) مطرح شد که دارای ماژول‌هایی برای سرقت اطلاعات از مرورگر و Outlook، قفل رایانه قربانی، جمع‌آوری اطلاعات شبکه و سیستم و سرقت اطلاعات احرازهویت دامنه‌ها است.

تروجان Trickbot سیستم‌های قربانی را برای فعالیت‌های مخرب دیگری مانند کاوش ارز دیجیتالی نیز مورد هدف قرار می‌دهدعلاوه بر این،‌ مجموعه‌ای از تغییرات در این نسخه جدید به چشم می‌خورد. در حال حاضر، ایمیل‌های اسپم مربوط به Trickbot حاوی صفحات گسترده اکسل به جای اتصال Word doc که در نسخه‌های قبلی دیده شده است، می‌باشند.

تروجان Trickbot

به گفته myonlinesecurity.co.uk که اولین بار انتشار دوباره این تروجان ( تروجان Trickbot)را گزارش کرده بود،‌ ایمیل آدرس‌ها شباهت قابل‌توجهی به ایمیل‌های JP Morgan دارند. بر این اساس، ایمیلی با موضوع FW: Incoming Confirmation ادعا می‌کند که از مقام ارشد مالیاتی جین مکمیلان در جی.پی مورگان (JP Morgan) فرستاده شده، اما در واقع منبع ارسال آن Jane.McMillan@chase-sdx.com است که از نظر ظاهری شبیه به وب‌سایت جی.پی مورگان بوده و به راحتی این امکان وجود دارد که با ایمیل آدرس اصلی اشتباه گرفته شود. با تحلیل و بررسی این تروجان مشخص شد که ماکرو آن حاوی یک کد‌نوشته Powershell متفاوت بوده است. این یک نسخه کد‌گذاری شده Base64 است که مشخص کردن URLهای دانلود را برای یک کارشناس امنیتی دشوار می‌کند، این در حالی‌ است که سندباکس‌های آنلاین می‌توانند به راحتی کد‌نوشته‌های نا‌مشخص را شناسایی کنند. بنابراین، به کاربران توصیه می‌شود برای جلوگیری از نفوذ تروجان Trickbot تا ماکرو‌های نرم‌افزار Microsoft Office خود را غیر‌فعال کنند.

برچسب ها
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *