گزارش تحلیلی تروجان Trickbot

گزارش تحلیلی تروجان Trickbot

تاریخ ایجاد

#Trickbot یک تروجان مالی معروف است که مشتری‌های بانک‌های بزرگ را هدف می‌گیرد و اعتبارنامه آن‌ها را سرقت می‌کند. این بدافزار، یک بدافزار ماژولار است که از ماژول‌های مختلفی برای فعالیت‌های مخرب خود استفاده می‌کند. این بدافزار از سال 2016 وجود داشته است و از آن زمان نسخه های جدید آن به طور مداوم و هر بار با ترفندها و ماژول‌های جدید به‌روز می‌شود.
Trickbot شامل ماژول‌هایی برای سرقت اطلاعات از مرورگرها و Microsoft outlock، قفل کردن کامپیوتر قربانی، جمع آوری اطلاعات سیستم، جمع آوری اطلاعات شبکه و سرقت اعتبارنامه‌های دامنه می‌باشد.
تحقیقات بر روی اخرین نسخه Trickbot نشان می‌دهد که این نسخه دارای یک تکنیک تزریق کد مخفی است که process hollowing (یک تکنیک تزریق کد که بخش قابل اجرا یک فرایند در حافظه با یک کد مخرب جایگزین می‌شود) را از طریق فراخوانی‌های سیستم مستقیم، تکنیک‌های ضد تحلیل و غیر فعال کردن ابزارهای امنیتی انجام می‌دهد. الگو رفتاری این نسخه Trickbot نشان می‌دهد که تا حدی مشابه تروجان بانکی Flokibot می‌باشد.
در این گزارش نسخه جدید و بردار آلودگی آن را تحلیل می‌کنیم.
تمرکز بر روی بردار آلودگی
این نسخه از Trickbot از طریق یک فایل ورد که شامل یک کد ماکرو است دانلود می‌شود. این ماکرو تا زمانی که کاربر بر روی enable content کلیک نکرده و zoomed in/out انجام نداده، اجرا نمی‌شود. در حالی که احتمالا از محیط sandbox می‌گریزد ، ممکن است از افرادی که در فایل zoom انجام ندهند نیز گریز کنند.

دانلود پیوست

برچسب‌ها