Специалисты компании Fortinet опубликовали отчет, в котором сообщают, что создатели известной малвари TrickBot (эту хак-группу обычно называют Wizard Spider) могут быть связаны разработкой нового вымогателя Diavol.

Пейлоады шифровальщиков Diavol и Conti были развернуты в различных системах в начале июня 2021 года. Отметается, что эти вымогатели очень похожи и их объединяет многое, от использования операций асинхронного I/O во время шифрования файлов, до использования практически идентичных параметров командной строки для одинаковых функций (например, создание логов, шифрование дисков и сетевых ресурсов, сканирование сети).

Однако прямой связи между вымогателем Diavol и авторами TrickBot эксперты все же найти не смогли, к тому же обнаружили ряд немаловажных различный. К примеру, Diavol не имеет встроенных проверок, предотвращающих срабатывание пейлоада на системах в России и странах СНГ. Также новая малварь  не похищает данные перед шифрованием.

 «Параметры, используемые злоумышленниками, наряду с ошибками в жестко закодированной конфигурации, намекают, что Diavol — это новый инструмент в арсенале его операторов, к которому они еще не до конца привыкли», — пишут исследователи.

Между тем, на днях компания Kryptos Logic сообщила, что обнаружила изменения в коде самой малвари TrickBot. По данным экспертов, с июня 2021 года TrickBot запускает на зараженных машинах новый модуль, содержащий обновленную версию старого банковского компонента, который пытается похитить учетные данные для входа в электронный банкинг.

Данный компонент был переписан и теперь включает новые методы внедрения вредоносного кода на сайты банков. Эксперты предполагают, что новый код скопирован со старого банкера Zeus: инжекты работают путем проксирования трафика через локальный SOCKS-сервер. Если в трафике встречаются страницы входа в онлайн-банкинг, трафик модифицируется, чтобы похитить учетные данные или выполнить другие вредоносные действия. Предполагается, что таким образом разработчики TrickBot пытаются составить конкуренцию другим банковским троянам и переманить часть их клиентов.

TrickBot  — один из крупнейших и наиболее успешных вредоносов на сегодняшний день. Малварь была замечена впервые еще в 2015 году, вскоре после серии громких арестов, которые существенно изменили состав хак-группы Dyre.

За прошедшие годы малварь эволюционировала из классического банковского трояна, предназначенного для кражи средств с банковских счетов, до многофункционального дроппера, распространяющего другие угрозы (от майнеров, до шифровальщиков и инфостилеров).

Осенью 2020 года была проведена масштабная операция, направленная на ликвидацию TrickBot. В ней принимали участие правоохранительные органы, специалисты команды Microsoft Defender, некоммерческой организации FS-ISAC, а та­кже ESET, Lumen, NTT и Symantec. Тогда многие эксперты писали, что хотя Microsoft удалось отключить инфраструктуру TrickBot, скорее всего, ботнет «выживет», и в конечном итоге его операторы введут в строй новые управляющие серверы, продолжив свою активностью. К сожалению, именно так и произошло.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии