[av_heading heading=’بدافزار بانکی Trickbot در پی برنامههای دسترسی از راه دور’ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
محققان از تجهیز شدن بدافزار بانکی Trickbot به قابلیت سرقت اطلاعات اصالتسنجی(Authentication) متعلق به برنامههای دسترسی از راه دور خبر دادهاند.
بر طبق گزارشی که شرکت ترند مایکرو آن را منتشر کرده است نسخه جدید این بدافزار از طریق اسپم های با پیوست فایل Excel در حال انتشار است. در فایل مذکور، ماکروی مخربی تزریق شده که بهمحض فعال شدن، بدافزار Trickbot را بر روی دستگاه دریافت و در ادامه اجرا میکند.
نسخه جدید Trickbot قادر به سرقت اطلاعات اصالتسنجی(Authentication) نرمافزارهای Virtual Network Computing – معروف به VNC – و PuTTY و همچنین مودم Remote Desktop Protocol میباشد.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2019/02/Trickbot-Remote-Application-1-1030×691.png’ attachment=’3219′ attachment_size=’large’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
برای دستیابی به اطلاعات اصالتسنجی VNC، بدافزار اقدام به پویش فایلهای با مشخصه vnc.lnk.* بر روی دستگاه قربانی میکند.
در مورد PuTTY نیز Trickbot مسیرهایی همچون Software\SimonTatham\Putty\Sessions را در محضرخانه (Registry) سیستم عامل مورد پالایش قرار میدهد. کلیدهای درج شده در مسیر مذکور شامل اطلاعات بااهمیتی همچون نام دستگاه، نام کاربری و کلیدهای خصوصی (Private Key) هستند که از آنها در فرایند اصالتسنجی PuTTY استفاده میشود.
و در نهایت برای RDP، بدافزار با بهرهجویی از تابع CredEnumerateA اطلاعات اصالتسنجی ذخیره شده را سرقت میکند.
بدافزار اطلاعات استخراج شده را از طریق مودم POST به سرورهای فرماندهی خود که در فایلی با نام dpost به آنها اشاره شده است ارسال میکند.
اگر چه سرقت اطلاعات اصالتسنجی برنامههای موسوم به دسترسی از راه دور را نمیتوان قابلیتی خاص Trickbot دانست اما نمونهای از این واقعیت است که تبهکاران حرفهای سایبری بهطور مستمر در حال ارتقای بدافزارهای خود هستند.
مشروح گزارش ترند مایکرو در اینجا قابل دریافت و مطالعه است.
نمونه بدافزارهای اشاره شده در گزارش مذکور نیز با نامهای زیر شناسایی میشوند:
Bitdefender:
– Trojan.GenericKD.40936328
– Trojan.GenericKD.31590660
McAfee:
– GenericRXGU-AQ!B855B1B7B596
– RDN/Generic.grp
Sophos:
– Mal/Generic-S
– Troj/Trickbo-NO
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکههای اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
بخش آموزش های سایت
[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]