درست پنج سال پیش ، در اکتبر 2016 ، راه حل های Kaspersky برای اولین بار با یک تروجان به نام Trickbot معروف به TrickLoader یا Trickster مواجه شد. آن زمان بیشتر در رایانه های خانگی یافت می شد ، وظیفه اصلی آن سرقت اطلاعات ورود به سیستم برای خدمات بانکی آنلاین بود. با این حال ، در سال های اخیر ، سازندگان آن تروجان بانکی را به یک ابزار مدولار چند منظوره تبدیل کرده اند.
همانطور که گفته شد Trickot یک بدافزاربانکی است و هدف آن سرقت اطلاعات مالی قربانی است . همچنین این تروجان در صورت نفوذ به سیستم کاربر به عنوان حامل برافزارهای دیگر نیز عمل می کند.
سازندگان و توسعه دهندگان این بدافزار بانکی به صورت حرفه ایی در حال انتشار ماژولها و نسخه های جدید آن هستند. یکی از مهمترین روش های انتشار این بدافزار از طریق رایانامه یا همان ایمیل می باشد. از روشهای آلوده کردن از طریق رایانامه ، قانع کردن کاربران برای رفتن به وب سایت های مخرب و بارگذاری بدافزار و یا دریافت این تروجان به عنوان فایل پیوست ایمیل می باشد.
علاوه بر این ، Trickbot اکنون در گروه های مجرمان سایبری به عنوان وسیله ای برای تزریق بدافزار شخص ثالث به زیرساخت های شرکت ها محبوب است. اخیراً رسانه های خبری گزارش داده اند که نویسندگان Trickbot با شرکای جدیدی در ارتباط بوده اند تا از بدافزار برای آلوده کردن زیرساخت های شرکت با انواع تهدیدهای دیگر مانند باج افزار Conti استفاده کنند.
چنین استفاده مجدد می تواند خطرات بیشتری را برای کارکنان مراکز عملیات امنیتی شرکت ها و دیگر متخصصان سایبری ایجاد کند. برخی از راه حل های امنیتی همچنان Trickbot را به عنوان یک تروجان بانکی بر اساس تخصص اصلی خود تشخیص می دهند. بنابراین ، افسران infosec که آن را تشخیص می دهند ممکن است آن را تهدیدی تصادفی برای کاربران خانگی تلقی کنند که به طور تصادفی وارد شبکه شرکتی شده است. در واقع ، حضور آن در آنجا می تواند نشان دهنده چیزی بسیار جدی تر باشد یک اقدام تزریق باج افزار یا حتی بخشی از عملیات جاسوسی سایبری هدفمند.
کارشناسان کسپرسکی توانستند ماژول های Trojan را از یکی از سرورهای C&C آن بارگیری کرده و آنها را به طور کامل تحلیل کنند.
کاری که Trickbot اکنون می تواند انجام دهد
هدف اصلی Trickbot مدرن ، نفوذ و گسترش در شبکه های محلی است. سپس اپراتورهای آن می توانند از آن برای کارهای مختلف، از جمله : دسترسی به زیرساخت های شرکت تا مهاجمان شخص ثالث تا سرقت اطلاعات حساس استفاده کنند. در اینجا کارهایی که این بدافزار می تواند انجام دهد اشاره شده است:
1. نامهای کاربری ، هش رمز عبور و سایر اطلاعات مفید برای حرکت جانبی در شبکه را از Active Directory و رجیستری جمع آوری میکند.
2. رهگیری ترافیک وب در رایانه آلوده.
3. ارائه کنترل دستگاه از راه دور از طریق پروتکل VNC و RDP .
4. سرقت کوکی ها از مرورگرها .
5. استخراج اطلاعات ورود به سیستم از رجیستری ، پایگاه های داده برنامه های کاربردی مختلف و فایل های پیکربندی ، و همچنین سرقت کلیدهای خصوصی ، گواهینامه های SSL و فایل های داده برای کیف پول های رمزنگاری شده .
6. رهگیری داده های تکمیل خودکار مرورگرها و اطلاعاتی که کاربران در فرم ها در وب سایت ها وارد می کنند .
7. اسکن فایل ها در سرورهای FTP و SFTP.
8. قرار دادن اسکریپت های مخرب در صفحات وب.
9. هدایت ترافیک مرورگر از طریق یک پروکسی محلی.
10. اعتبار مشخصات Outlook را جمع آوری میکند ، ایمیل ها را در Outlook رهگیری کرده و از طریق آن هرزنامه ارسال میکند.
11. سرویس OWA را جستجو کرده و آن را بی رحمانه اعمال میکند.
12. دسترسی به رایانه را در سطح سخت افزار فراهم میکند.
13. اسکن دامنه ها برای آسیب پذیری ها.
14. آدرس سرورهای SQL را پیدا کرده و پرس و جوهای جستجو را در آنها اجرا میکند.
15. ایجاد اتصالات VPN.
نحوه محافظت در برابر تروجان Trickbot
آمار نشان می دهد که اکثر کشف های Trickbot امسال در ایالات متحده ، استرالیا ، چین ، مکزیک و فرانسه ثبت شده است. با این حال ، این بدان معنا نیست که مناطق دیگر ایمن هستند ، به ویژه با توجه به آمادگی سازندگان آن برای همکاری با دیگر مجرمان سایبری.
برای جلوگیری از قربانی شدن شرکت شما توسط این تروجان ، توصیه می کنیم همه دستگاه های متصل به اینترنت را به یک راه حل امنیتی با کیفیت بالا مانند آنتی ویروس Kaspersky مجهز کنید. علاوه بر این ، ایده خوبی است که از خدمات نظارت بر تهدیدات سایبری برای تشخیص فعالیت مشکوک در زیرساخت های شرکت استفاده کنید.
شرکت شبکه رسام دوراندیش
برای کمک به محافظت از دستگاه های شما ، در هر کجا و هر ابعادی که هستید انواع آنتی ویروس های تحت شبکه ، سازمانی و نسخه های خانگی را با هر قابلیتی که بخواهید را در دسترس شما عزیزان قرار می دهد .
مجموعه مهندسی شبکه رسام دوراندیش نماینده رسمی فروش آنتی ویروس Kaspersky با قابلیت ارائه پشتیبانی رایگان و 24 ساعته می باشد .