#Trickbot یک تروجان مالی معروف است که مشتریهای بانکهای بزرگ را هدف میگیرد و اعتبارنامه آنها را سرقت میکند. این بدافزار، یک بدافزار ماژولار است که از ماژولهای مختلفی برای فعالیتهای مخرب خود استفاده میکند. این بدافزار از سال 2016 وجود داشته است و از آن زمان نسخه های جدید آن به طور مداوم و هر بار با ترفندها و ماژولهای جدید بهروز میشود.
Trickbot شامل ماژولهایی برای سرقت اطلاعات از مرورگرها و Microsoft outlock، قفل کردن کامپیوتر قربانی، جمع آوری اطلاعات سیستم، جمع آوری اطلاعات شبکه و سرقت اعتبارنامههای دامنه میباشد.
تحقیقات بر روی اخرین نسخه Trickbot نشان میدهد که این نسخه دارای یک تکنیک تزریق کد مخفی است که process hollowing (یک تکنیک تزریق کد که بخش قابل اجرا یک فرایند در حافظه با یک کد مخرب جایگزین میشود) را از طریق فراخوانیهای سیستم مستقیم، تکنیکهای ضد تحلیل و غیر فعال کردن ابزارهای امنیتی انجام میدهد. الگو رفتاری این نسخه Trickbot نشان میدهد که تا حدی مشابه تروجان بانکی Flokibot میباشد.
در این گزارش نسخه جدید و بردار آلودگی آن را تحلیل میکنیم.
تمرکز بر روی بردار آلودگی
این نسخه از Trickbot از طریق یک فایل ورد که شامل یک کد ماکرو است دانلود میشود. این ماکرو تا زمانی که کاربر بر روی enable content کلیک نکرده و zoomed in/out انجام نداده، اجرا نمیشود. در حالی که احتمالا از محیط sandbox میگریزد ، ممکن است از افرادی که در فایل zoom انجام ندهند نیز گریز کنند.
- 5