[av_heading heading=’بدافزار بانکی Trickbot در پی برنامه‌های دسترسی از راه دور’ tag=’h1′ style=’blockquote modern-quote modern-centered’ size=” subheading_active=” subheading_size=’15’ padding=’10’ color=’custom-color-heading’ custom_font=’#4ecac2′ av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
محققان از تجهیز شدن بدافزار بانکی Trickbot به قابلیت سرقت اطلاعات اصالت‌سنجی(Authentication) متعلق به برنامه‌های دسترسی از راه دور خبر داده‌اند.
بر طبق گزارشی که شرکت ترند مایکرو آن را منتشر کرده است نسخه جدید این بدافزار از طریق اسپم های با پیوست فایل Excel در حال انتشار است. در فایل مذکور، ماکروی مخربی تزریق شده که به‌محض فعال شدن، بدافزار Trickbot را بر روی دستگاه دریافت و در ادامه اجرا می‌کند.
نسخه جدید Trickbot قادر به سرقت اطلاعات اصالت‌سنجی(Authentication) نرم‌افزارهای Virtual Network Computing – معروف به VNC – و PuTTY و همچنین مودم  Remote Desktop Protocol می‌باشد.
[/av_textblock]
[av_image src=’http://sgap.co/wp-content/uploads/2019/02/Trickbot-Remote-Application-1-1030×691.png’ attachment=’3219′ attachment_size=’large’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’ admin_preview_bg=”][/av_image]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

 برای دستیابی به اطلاعات اصالت‌سنجی VNC، بدافزار اقدام به پویش فایل‌های با مشخصه vnc.lnk.* بر روی دستگاه قربانی می‌کند.

در مورد PuTTY نیز Trickbot مسیرهایی همچون Software\SimonTatham\Putty\Sessions را در محضرخانه (Registry) سیستم عامل مورد پالایش قرار می‌دهد. کلیدهای درج شده در مسیر مذکور شامل اطلاعات بااهمیتی همچون نام دستگاه، نام کاربری و کلیدهای خصوصی (Private Key) هستند که از آنها در فرایند اصالت‌سنجی PuTTY استفاده می‌شود.

و در نهایت برای RDP، بدافزار با بهره‌جویی از تابع CredEnumerateA اطلاعات اصالت‌سنجی ذخیره شده را سرقت می‌کند.

بدافزار اطلاعات استخراج شده را از طریق مودم  POST به سرورهای فرماندهی خود که در فایلی با نام dpost به آنها اشاره شده است ارسال می‌کند.

اگر چه سرقت اطلاعات اصالت‌سنجی برنامه‌های موسوم به دسترسی از راه دور را نمی‌توان قابلیتی خاص Trickbot دانست اما نمونه‌ای از این واقعیت است که تبهکاران حرفه‌ای سایبری به‌طور مستمر در حال ارتقای بدافزارهای خود هستند.

مشروح گزارش ترند مایکرو در اینجا قابل دریافت و مطالعه است.

نمونه بدافزارهای اشاره شده در گزارش مذکور نیز با نام‌های زیر شناسایی می‌شوند:

Bitdefender:
– Trojan.GenericKD.40936328
– Trojan.GenericKD.31590660

McAfee:
– GenericRXGU-AQ!B855B1B7B596
– RDN/Generic.grp

Sophos:
– Mal/Generic-S
– Troj/Trickbo-NO

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]
علیرضا خبیر
مشاور و مدرس تست نفوذ و امنیت شبکه‌های اداری و صنعتی
[/av_textblock]
[av_heading tag=’h1′ padding=’10’ heading=’لینک ها ‘ color=’custom-color-heading’ style=’blockquote modern-quote modern-centered’ custom_font=’#37ef34′ size=” subheading_active=” subheading_size=’15’ custom_class=” admin_preview_bg=” av-desktop-hide=” av-medium-hide=” av-small-hide=” av-mini-hide=” av-medium-font-size-title=” av-small-font-size-title=” av-mini-font-size-title=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=”][/av_heading]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

بخش آموزش های سایت

[/av_textblock]
[av_textblock size=” font_color=” color=” av-medium-font-size=” av-small-font-size=” av-mini-font-size=” admin_preview_bg=”]

[/av_textblock]
[av_font_icon icon=’ue8b7′ font=’entypo-fontello’ style=’border’ caption=’لینک کانال تلگرام’ link=’manually,http://t.me/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_font_icon icon=’ue909′ font=’entypo-fontello’ style=’border’ caption=’لینک اینستاگرام’ link=’manually,https://www.instagram.com/sgapsec’ linktarget=’_blank’ size=’40px’ position=’center’ color=” admin_preview_bg=”]
کانال تلگرام ما
[/av_font_icon]
[av_postslider link=’category,71,72,70,1,73′ wc_prod_visible=” prod_order_by=” prod_order=” columns=’5′ items=’-1′ offset=’0′ contents=’title’ preview_mode=’auto’ image_size=’portfolio’ autoplay=’yes’ interval=’5′]