Банковский троян TrickBot активен уже около года и специалисты полагают, что его «прародителем» является троян Dyre.

Ранее в 2017 году исследователи обнаружили, что TrickBot расширил свой список целей, помимо банковских приложений включив в него пользователей PayPal и различные CRM-системы. Теперь специалисты пишут, что TrickBot продолжает развиваться.

Недавно аналитики компаний Flashpoint и Deloitte обнаружили новую версию трояна, которая распространяется через спам, рассылаемый ботнетом Necurs. Данный образчик комплектуется специальным SMB-модулем, который добавляет трояну функциональность червя и позволяет ему автоматически распространяться на все доступные компьютеры в локальной сети. Банкер явно позаимствовал эту технику у нашумевших вредоносов WannaCry и NotPetya. Для работы модуля используется NetServerEnum Windows API, а также протокол Lightweight Directory Access (LDAP).

Хотя по данным исследователей, пока эта функция реализована не до конца, они убеждены, что в скором времени авторы малвари приведут SMB-модуль в полностью рабочее состояние.

На этой неделе известная ИБ-исследовательница, известная под псевдонимом Hasherezade, в свою очередь, сообщила, что создатели малвари, похоже, наняли еще одного разработчика в команду, и TrickBot продолжает обрастать новыми функциями.

Hasherezade пишет, что в настоящее время банкер комплектуется пятью основными модулями: systemInfo.dll и loader.dll (injectDll32), которые входили в состав трояна с самого начала, mailsearcher.dll, добавленный в декабре 2016 года, а также недавно появились два новых модуля — это module.dll и Outlook.dll.

В отличие от других компонентов малвари, Outlook.dll написан на Delphi, а не на C++, и создан для похищения учетных данных и информации из Microsoft Outlook.

Module.dll (importDll32) создан с использованием C++, Qt5 и OpenSSL. Временная отметка в коде гласит, что модуль появился в мае 2017 года. Данный компонент предназначен для хищения различной информации из браузеров, включая куки, историю браузинга, HTML5 Local Storage, Flash LSO (Local Shared Objects), подсказок URL и так далее. Hasherezade отмечает, что модуль написан довольно небрежно и практически не скрывает своих намерений. Так, в его коде жестко прописан длинный список целей, среди которых различные сайты самых разных стран мира, включая Японию, Францию, Польшу, Италию, Перу, Норвегию и так далее.



4 комментария

  1. Skybad

    04.08.2017 at 15:34

    Самбу нужно выпиливать ))

    • Il

      04.08.2017 at 21:33

      Зачем? А вместо нее что?

    • Il

      04.08.2017 at 21:34

      Точнее даже не так, те кто придут вместо нее не имеют уязвимостей?

      • john_

        07.08.2017 at 07:21

        Почему у браузера не реализовать механизм внешней защиты?

        Когда мне нужен был чистый браузер, поставил параллельно ЯБраузер (да, мне стыдно), который при установке с@#%л все из хрома, включая историю, пароли и расширения. Меня при этом не спросив. Так вот вопрос, что мешает так же делать любой программе или микроорганизму (хе хе). Последний вопрос риторический. А вопрос с защитой от внешних воздействий остаётся открытый.

Оставить мнение