Новые вирусные угрозы

**satvitek** · 05.08.2017, 12:00

Троян TrickBot получил механизм саморазмножения и научился атаковать браузеры и Outlook

Банковский троян TrickBot активен уже около года и специалисты полагают, что его «прародителем» является троян Dyre.
Ранее в 2017 году исследователи обнаружили, что TrickBot расширил свой список целей, помимо банковских приложений включив в него пользователей PayPal и различные CRM-системы. Теперь специалисты пишут, что TrickBot продолжает развиваться.

Недавно аналитики компаний Flashpoint и Deloitte обнаружили новую версию трояна, которая распространяется через спам, рассылаемый ботнетом Necurs. Данный образчик комплектуется специальным SMB-модулем, который добавляет трояну функциональность червя и позволяет ему автоматически распространяться на все доступные компьютеры в локальной сети. Банкер явно позаимствовал эту технику у нашумевших вредоносов WannaCry и NotPetya. Для работы модуля используется NetServerEnum Windows API, а также протокол Lightweight Directory Access (LDAP).

Хотя по данным исследователей, пока эта функция реализована не до конца, они убеждены, что в скором времени авторы малвари приведут SMB-модуль в полностью рабочее состояние.

На этой неделе известная ИБ-исследовательница, известная под псевдонимом Hasherezade, в свою очередь, сообщила, что создатели малвари, похоже, наняли еще одного разработчика в команду, и TrickBot продолжает обрастать новыми функциями.

Hasherezade пишет, что в настоящее время банкер комплектуется пятью основными модулями: systemInfo.dll и loader.dll (injectDll32), которые входили в состав трояна с самого начала, mailsearcher.dll, добавленный в декабре 2016 года, а также недавно появились два новых модуля — это module.dll и Outlook.dll.

В отличие от других компонентов малвари, Outlook.dll написан на Delphi, а не на C++, и создан для похищения учетных данных и информации из Microsoft Outlook.

Module.dll (importDll32) создан с использованием C++, Qt5 и OpenSSL. Временная отметка в коде гласит, что модуль появился в мае 2017 года. Данный компонент предназначен для хищения различной информации из браузеров, включая куки, историю браузинга, HTML5 Local Storage, Flash LSO (Local Shared Objects), подсказок URL и так далее. Hasherezade отмечает, что модуль написан довольно небрежно и практически не скрывает своих намерений. Так, в его коде жестко прописан длинный список целей, среди которых различные сайты самых разных стран мира, включая Японию, Францию, Польшу, Италию, Перу, Норвегию и так далее.

05.08.2017, 12:00	#11
satvitek Модератор Online: 3мес0нед3дн Регистрация: 27.04.2014 Сообщений: 25,426 Репутация: 32814 (Вес: 848) Поблагодарили 16,237 раз(а)	Re: Новые вирусные угрозы *Троян TrickBot получил механизм саморазмножения и научился атаковать браузеры и Outlook* Банковский троян TrickBot активен уже около года и специалисты полагают, что его «прародителем» является троян Dyre. Ранее в 2017 году исследователи обнаружили, что TrickBot расширил свой список целей, помимо банковских приложений включив в него пользователей PayPal и различные CRM-системы. Теперь специалисты пишут, что TrickBot продолжает развиваться. Недавно аналитики компаний Flashpoint и Deloitte обнаружили новую версию трояна, которая распространяется через спам, рассылаемый ботнетом Necurs. Данный образчик комплектуется специальным SMB-модулем, который добавляет трояну функциональность червя и позволяет ему автоматически распространяться на все доступные компьютеры в локальной сети. Банкер явно позаимствовал эту технику у нашумевших вредоносов WannaCry и NotPetya. Для работы модуля используется NetServerEnum Windows API, а также протокол Lightweight Directory Access (LDAP). Хотя по данным исследователей, пока эта функция реализована не до конца, они убеждены, что в скором времени авторы малвари приведут SMB-модуль в полностью рабочее состояние. На этой неделе известная ИБ-исследовательница, известная под псевдонимом Hasherezade, в свою очередь, сообщила, что создатели малвари, похоже, наняли еще одного разработчика в команду, и TrickBot продолжает обрастать новыми функциями. Hasherezade пишет, что в настоящее время банкер комплектуется пятью основными модулями: systemInfo.dll и loader.dll (injectDll32), которые входили в состав трояна с самого начала, mailsearcher.dll, добавленный в декабре 2016 года, а также недавно появились два новых модуля — это module.dll и Outlook.dll. В отличие от других компонентов малвари, Outlook.dll написан на Delphi, а не на C++, и создан для похищения учетных данных и информации из Microsoft Outlook. Module.dll (importDll32) создан с использованием C++, Qt5 и OpenSSL. Временная отметка в коде гласит, что модуль появился в мае 2017 года. Данный компонент предназначен для хищения различной информации из браузеров, включая куки, историю браузинга, HTML5 Local Storage, Flash LSO (Local Shared Objects), подсказок URL и так далее. Hasherezade отмечает, что модуль написан довольно небрежно и практически не скрывает своих намерений. Так, в его коде жестко прописан длинный список целей, среди которых различные сайты самых разных стран мира, включая Японию, Францию, Польшу, Италию, Перу, Норвегию и так далее. __________________ 1,2m полярка(60-12W)+0,9(5E+13E+19Е)+ 1,1m 36Е Sat-Integral SP-1329 HD Combo

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)