بدافزار Trickbot

در حال حاضر TrickBot بیشترین سهم از بدافزارهای انتشاریافته از طریق ایمیل‌ها و پیوست‌های مخرب با موضوع جعلی کرونا را به خود اختصاص داده است.

به نقل از پایگاه اینترنتی BleepingComputer، شرکت Microsoft اعلام کرده است این شرکت تنها ظرف کمتر از یک هفته، چند صد پیوست منحصربه‌فرد حاوی ماکروی ناقل TrickBot را شناسایی کرده که در آن‌ها وانمود می‌شود که سند از سوی یک سازمان غیرانتفاعی برای تست رایگان کرونا ارسال‌شده است.
مدت‌هاست که ماکروهای ناقل TrickBot تعمداً با تأخیر کد مخرب را دریافت می‌کنند تا از این طریق بسترهای سندباکس تحلیلگر و شبیه‌ساز را که معمولاً توسط محصولات امنیتی و مهندسان ویروس به کار گرفته می‌شوند را ناکام بگذارند.

حدود یک هفته قبل نیز Microsoft اعلام کرد که از ۷۶ تهدید شناسایی‌شده توسط این شرکت که در آن‌ها از موضوعات مرتبط با کرونا برای فریب کاربران سوءاستفاده شده TrickBot در صدر فعال‌ترین آن‌ها قرارگرفته است.
از بین میلیون‌ها پیام هدفمند، حدود ۶۰ هزار پیام حاوی پیوست یا نشانی مخرب با موضوعاتی در ظاهر مرتبط با کرونا بوده است.

تنها در یک روز قابلیت ضدفیشینگ Microsoft معروف به SmartScreen بیش از ۱۸ هزار نشانی URL و IP با الگوی کرونایی را شناسایی کرده است.
در اکتبر ۲۰۱۶، تروجان TrickBot به‌عنوان یک بدافزار بانکی مبتنی بر ماژول پا به عرصه تهدیدات سایبری گذاشت. این بدافزار همواره توسط نویسندگان آن در حال ارتقا بوده و به‌طور مستمر ماژول‌ها و قابلیت‌های جدیدی به آن اضافه‌شده است.

برای مثال، در اواخر ماه مارس، فعالیت گردانندگان TrickBot به دلیل استفاده آن‌ها از یک برنامه مخرب Android برای عبور از سد سیستم‌های حفاظتی مبتنی بر اصالت‌سنجی دومرحله‌ای چندین بانک درحالی‌که پیش از آن اطلاعات موسوم به Transaction Authentication Number را سرقت کرده بودند خبرساز شد.
همچنین از ابتدای ژانویه، TrickBot مجهز به سازوکاری جدید برای بی‌اثر ساختن بخش User Account Control – به‌اختصار UAC – شد که این بدافزار را قادر به اجرای فایل مخرب خود با سطح دسترسی ارتقا یافته بدون نمایش هشدار UAC می‌کرد.

یا در نمونه‌ای دیگر گردانندگان TrickBot برای بهره‌گیری از ترس عمومی ناشی از شیوع ویروس کرونا در یک کارزار هرزنامه‌ای اقدام به ارسال ایمیل‌هایی با پیوست مخرب به کاربران ایتالیایی کردند. در این ایمیل‌ها تظاهر می‌شد که ارسال‌کننده یکی از پزشکان سازمان بهداشت جهانی در ایتالیا بوده و پیوست نیز حاوی اطلاعاتی در خصوص راهکارهای پیشگیرانه برای مقابله با کروناست.

در فوریه نیز TrickBot و Emotet هر دو با استفاده از متن‌هایی برگرفته‌شده از اخبار واقعی کرونا تلاش کردند تا از سد کنترل‌های امنیتی مبتنی بر یادگیری ماشین و هوش منصوعی عبور کنند.
چند روز پیش نیز Google اعلام کرد پویشگرهای بکار گرفته‌شده در Gmail تنها طی یک هفته هیجده میلیون ایمیل فیشینگ و ناقل بدافزار مبتنی بر الگوی کرونا را مسدود کرده است.

TrickBot اگرچه در ابتدا تنها برای استخراج و سرقت داده‌های حساس از روی سیستم قربانی مورداستفاده مهاجمان قرار می‌گرفت اما اکنون به یک ابزار پرآوازه برای آلوده کردن دستگاه به بدافزارهای گاهاً به‌مراتب خطرناک‌تر تکامل‌یافته است.
TrickBot، خود معمولاً به‌واسطه Emotet بر روی دستگاه قربانیان نصب‌شده و عمدتاً در جریان حملات چندمرحله‌ای برای دانلود و اجرای بدافزارهای مخربی که یکی از معروف‌ترین آن‌ها باج افزار Ryuk است مورداستفاده می‌گیرد.

در اکثر مواقع، این تفویض اختیار به بدافزار دوم پس‌ازآن اتفاق می‌افتد که تمامی داده‌های بالقوه مفید همچون اطلاعات سیستم، اطلاعات اصالت‌سنجی، فایل‌های موردنظر مهاجمان توسط TrickBot سرقت شده است.

TrickBot به دلیل توانایی آن در انتشار گسترده خود در بستر شبکه‌ها به‌خصوص در صورت موفقیت آن در دسترسی یافتن به سرورهای Domain Controller و سرقت اطلاعات اصالت‌سنجی Active Directory تهدیدی جدی بر ضد سازمان‌ها تلقی می‌شود.

نشانه‌های آلودگی (IoC):
هش

• ec۳۴b۲۰۷d۵۰۳a۳c۹۵ee۷۴۳ee۲۹۶a۰۸e۹۳a۵e۹۶۰aa۴۶۱۱ea۸c۳۹d۸e۵d۴c۵f۶۵۹۳

• ۰b۴a۷۷۱۱۸۱af۲۹e۸۷۴۱۶۳۱۶ff۱eac۸a۷f۴b۹e۴۷a۷۵e۶۵۱defacdc۷۱۱b۰c۳۶۲f۲

• ۸daa۱c۵e۷۴۰۰۴f۳c۳۹۵۷a۱۸۱۰b۴f۳b۹fbcfc۰۴de۹۲cb۰۰daea۱۰f۷۷۴۴۷a۷۵a۲۵