Банковский троян TrickBot активен уже около года и специалисты полагают, что его "прародителем" является троян Dyre.

Ранее в 2017 году исследователи обнаружили, что TrickBot расширил свой список целей, помимо банковских приложений включив в него пользователей PayPal и различные CRM-системы. Теперь специалисты пишут, что TrickBot продолжает развиваться.

Недавно аналитики компаний Flashpoint и Deloitte обнаружили новую версию трояна, которая распространяется через спам, рассылаемый ботнетом Necurs. Данный образчик комплектуется специальным SMB-модулем, который добавляет трояну функциональность червя и позволяет ему автоматически распространяться на все доступные компьютеры в локальной сети. Банкер явно позаимствовал эту технику у нашумевших вредоносов WannaCry и NotPetya. Для работы модуля используется NetServerEnum Windows API, а также протокол Lightweight Directory Access (LDAP).

Хотя по данным исследователей, пока эта функция реализована не до конца, они убеждены, что в скором времени авторы малвари приведут SMB-модуль в полностью рабочее состояние.

На этой неделе известная ИБ-исследовательница, известная под псевдонимом Hasherezade, в свою очередь, сообщила, что создатели малвари, похоже, наняли еще одного разработчика в команду, и TrickBot продолжает обрастать новыми функциями.

Hasherezade пишет, что в настоящее время банкер комплектуется пятью основными модулями: systemInfo.dll и loader.dll (injectDll32), которые входили в состав трояна с самого начала, mailsearcher.dll, добавленный в декабре 2016 года, а также недавно появились два новых модуля — это module.dll и Outlook.dll.

В отличие от других компонентов малвари, Outlook.dll написан на Delphi, а не на C++, и создан для похищения учетных данных и информации из Microsoft Outlook.

Module.dll (importDll32) создан с использованием C++, Qt5 и OpenSSL. Временная отметка в коде гласит, что модуль появился в мае 2017 года. Данный компонент предназначен для хищения различной информации из браузеров, включая куки, историю браузинга, HTML5 Local Storage, Flash LSO (Local Shared Objects), подсказок URL и так далее. Hasherezade отмечает, что модуль написан довольно небрежно и практически не скрывает своих намерений. Так, в его коде жестко прописан длинный список целей, среди которых различные сайты самых разных стран мира, включая Японию, Францию, Польшу, Италию, Перу, Норвегию и так далее.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии