Phần mềm độc hại TrickBot sử dụng các kỹ thuật mới để trốn tránh các cuộc tấn công đưa vào web

Phần mềm độc hại TrickBot

Các nhà điều hành tội phạm mạng đằng sau phần mềm độc hại khét tiếng TrickBot đã một lần nữa nâng cao ante bằng cách tinh chỉnh các kỹ thuật của nó bằng cách thêm nhiều lớp phòng thủ để vượt qua các sản phẩm chống phần mềm độc hại.

IBM Trusteer cho biết trong một báo cáo: “Là một phần của sự leo thang đó, việc tiêm phần mềm độc hại đã được trang bị thêm tính năng bảo vệ để ngăn các nhà nghiên cứu ra ngoài và vượt qua các biện pháp kiểm soát bảo mật”. “Trong hầu hết các trường hợp, các biện pháp bảo vệ bổ sung này đã được áp dụng cho các mũi tiêm được sử dụng trong quá trình gian lận ngân hàng trực tuyến – hoạt động chính của TrickBot kể từ khi thành lập sau khi Dyre Trojan diệt vong.”

TrickBot, khởi đầu là một trojan ngân hàng, đã phát triển thành một phần mềm tội phạm đa năng như một dịch vụ (CaaS) được sử dụng bởi nhiều đối tượng khác nhau để cung cấp các tải trọng bổ sung như ransomware. Hơn 100 biến thể của TrickBot đã được xác định cho đến nay, một trong số đó là mô-đun “Trickboot” có thể sửa đổi UEFI của thiết bị bị xâm phạm.

Vào mùa thu năm 2020, Microsoft cùng với một số cơ quan chính phủ Hoa Kỳ và các công ty bảo mật tư nhân đã hợp tác để giải quyết TrickBot, hạ gục phần lớn cơ sở hạ tầng của nó trên toàn thế giới nhằm ngăn chặn hoạt động của nó.

Xem tiếp:   Nhóm DoNot Hacking Nhắm mục tiêu Chính phủ và Các Tổ chức Quân sự ở Nam Á

Nhưng TrickBot đã được chứng minh là không thể chống lại các nỗ lực gỡ xuống, điều mà các nhà khai thác nhanh chóng điều chỉnh các kỹ thuật của họ để phát tán phần mềm độc hại nhiều giai đoạn thông qua các cuộc tấn công lừa đảo và malspam, chưa kể đến việc mở rộng các kênh phân phối của họ bằng cách hợp tác với các chi nhánh khác như Shathak (hay còn gọi là TA551) để tăng quy mô và thúc đẩy lợi nhuận.

Phần mềm độc hại TrickBot

Gần đây hơn, các chiến dịch phần mềm độc hại liên quan đến Emotet đã cõng TrickBot như một “dịch vụ giao hàng”, kích hoạt một chuỗi lây nhiễm làm rơi công cụ khai thác sau Cobalt Strike trực tiếp vào các hệ thống bị xâm phạm. Tính đến tháng 12 năm 2021, ước tính có khoảng 140.000 nạn nhân trên 149 quốc gia đã bị lây nhiễm bởi TrickBot.

Các bản cập nhật mới mà IBM Trusteer quan sát được liên quan đến việc đưa vào web theo thời gian thực được sử dụng để lấy cắp thông tin xác thực ngân hàng và cookie của trình duyệt. Điều này hoạt động bằng cách hướng nạn nhân đến các tên miền sao chép khi cố gắng điều hướng đến cổng ngân hàng như một phần của cuộc tấn công được gọi là tấn công man-in-the-browser (MitB).

Cũng được đưa vào sử dụng là một cơ chế chèn phía máy chủ chặn phản hồi từ máy chủ của ngân hàng và chuyển hướng nó đến một máy chủ do kẻ tấn công kiểm soát, do đó, sẽ chèn thêm mã vào trang web trước khi nó được chuyển tiếp trở lại máy khách.

Xem tiếp:   Emotet hiện đang sử dụng các định dạng địa chỉ IP không thông thường để tránh bị phát hiện

Michael Gal, nhà nghiên cứu web bảo mật tại IBM cho biết: “Để tạo điều kiện cho việc tìm nạp đúng vào thời điểm thích hợp, phần mềm độc hại TrickBot thường sử dụng trình tải xuống hoặc trình tải (JS) để giao tiếp với máy chủ tiêm của nó”.

Các tuyến phòng thủ khác đã thông qua phiên bản mới nhất của TrickBot cho thấy việc sử dụng thông tin liên lạc HTTPS được mã hóa với máy chủ lệnh và kiểm soát (C2) để tìm nạp các lần tiêm; một cơ chế chống gỡ lỗi để cản trở phân tích; và các cách mới để làm xáo trộn và ẩn phần chèn web, bao gồm việc bổ sung mã dự phòng và kết hợp biểu diễn hex để khởi tạo các biến.

Cụ thể, khi phát hiện bất kỳ nỗ lực nào được thực hiện để làm đẹp mã, tính năng chống gỡ lỗi của TrickBot sẽ kích hoạt tình trạng quá tải bộ nhớ có thể làm sập trang, ngăn chặn hiệu quả mọi hoạt động kiểm tra phần mềm độc hại.

“TrickBot Trojan và băng nhóm vận hành nó đã trở thành chủ lực của tội phạm mạng kể từ khi chúng tiếp quản khi người tiền nhiệm Dyre bị phá sản vào năm 2016”, Gal nói. “TrickBot đã không ngơi nghỉ một ngày. Giữa những nỗ lực gỡ xuống và đại dịch toàn cầu, nó đã và đang đa dạng hóa các mô hình kiếm tiền của mình và ngày càng phát triển mạnh mẽ hơn.”

Xem tiếp:   Thị trường lớn nhất cho thẻ tín dụng bị đánh cắp của Dark Web sắp đóng cửa

.

Related Posts

Check Also

Những kẻ tấn công có thể sử dụng tín hiệu điện từ để điều khiển màn hình cảm ứng từ xa

Các nhà nghiên cứu đã chứng minh cái mà họ gọi là “cuộc tấn công …