Τελευταία νέα
“Καταπέλτης” ο Κούγιας για το δράστη στη Φολέγανδρο: “Σχεδίασε με απόλυτη ηρεμία την ανθρωποκτονία – Κανένας ψυχίατρος δεν γνωμάτευσε ότι είχε διπολική διαταραχή” Εκνευρισμός στην Άγκυρα για την καταδίκη του Συμβουλίου Ασφαλείας για τα Βαρώσια Καταγγελίες για την επίσκεψη Μητσοτάκη στο Νοσοκομείο Χαλκίδας: Αστυνομοκρατία, ασθενείς να περιμένουν τα σταματημένα ασανσέρ και μαζικά εξιτήρια για να μην φαίνεται η 100% πληρότητα Κόλαφος για τον 30χρονο η ιατροδικαστική έκθεση: Ξυλοκοπήθηκε βάναυσα προτού τη σπρώξει στη θάλασσα – “Ίσως είχε σωθεί αν είχε ανασυρθεί 10 λεπτά νωρίτερα” Τόκιο 2020: Η τελετή έναρξης… της σιωπής Φολέγανδρος: Ο δράστης σχεδίασε με ηρεμία το έγκλημα δηλώνει ο συνήγορος του θύματος Δέσμευση Τσίπρα για κατάργηση της Ελάχιστης Βάσης Εισαγωγής και επανακατάθεση μηχανογραφικών Εξοργιστική η απολογία του 30χρονου δολοφόνου της Γαρυφαλλιάς: Με κορόιδευε, θόλωσα – Γι’ αυτό που συνέβη σίγουρα δεν ήμουν ο εαυτός μου. Τόκιο: Η Coca – Cola πάει και με …κορωνοϊό Μύκονοοος… Κ. Νοτοπούλου: «Η κυβέρνηση έπαιξε στα ζάρια τον τουρισμό» Αλέξης Τσίπρας: Ως κυβέρνηση θα καταργήσουμε την ελάχιστη βάση εισαγωγής
Secnews.gr

Το Trickbot ενημερώνει το VNC module για στόχους υψηλής αξίας

Το botnet malware Trickbot που διανέμει συχνά διάφορα στελέχη ransomware, εξακολουθεί να είναι η πιο διαδεδομένη απειλή καθώς οι προγραμματιστές του ενημερώνουν το VNC module που χρησιμοποιείται για απομακρυσμένο έλεγχο των μολυσμένων συστημάτων.

Η δραστηριότητά του αυξάνεται συνεχώς από την πλήρη διακοπή του botnet Emotet τον Ιανουάριο, που λειτούργησε ως διανομέας τόσο για το Trickbot όσο και για άλλους απειλητικούς παράγοντες υψηλού προφίλ.

Δείτε επίσης: Η ομάδα πίσω από το Trickbot συνδέεται με το ransomware Diavol

Η πιο διαδεδομένη απειλή

Το Trickbot βρίσκεται εδώ και σχεδόν μισή δεκαετία και έχει μεταβεί από ένα banking trojan σε ένα από τα μεγαλύτερα botnets που κυκλοφορεί σήμερα που πωλεί πρόσβαση σε διάφορους απειλητικούς παράγοντες.

Ορισμένες από τις ransomware επιχειρήσεις που χρησιμοποιούν αυτό το botnet για πρόσβαση στο δίκτυο είναι οι Ryuk, Conti, REvil, καθώς και μια νέα που ονομάζεται Diavol, το Ρουμανικό για το Devil.

Από την κατάργηση του Emotet από την επιβολή του νόμου, η δραστηριότητα του Trickbot άρχισε να αυξάνεται σε τέτοια επίπεδα που τον Μάιο ήταν το πιο διαδεδομένο malware στο ραντάρ του Check Point.

Το malware διατήρησε τη θέση του αυτό το μήνα, σημειώνει σήμερα η εταιρεία cybersecurity σε μια έκθεση, προσθέτοντας ότι οι συντηρητές του Trickbot εργάζονται συνεχώς για να το βελτιώσουν.

Σύμφωνα με το Check Point, το Trickbot επηρέασε το 7% των οργανισμών σε όλο τον κόσμο, ακολουθούμενο από το XMRig cryptocurrency miner the Formbook info stealer, το οποίο επηρέασε το 3% των οργανισμών που ελέγχει το Check Point παγκοσμίως.

Δείτε επίσης: DoJ ΗΠΑ: Κατηγορεί Λετονή για την ανάπτυξη του Trickbot malware

Νέο VNC module στο έργο

Σε μια άλλη έκθεση, η ρουμανική εταιρεία κυβερνοασφάλειας Bitdefender αναφέρει ότι τα συστήματά της εντόπισαν ένα νέο VNC module του Trickbot (vncDLL), το οποίο χρησιμοποιήθηκε μετά από παραβιάσεις στόχων υψηλού προφίλ.

Το ενημερωμένο module ονομάζεται tvncDLL και επιτρέπει στον απειλητικό παράγοντα να παρακολουθεί το θύμα και να συλλέγει πληροφορίες.

Παρόλο που το tvncDLL ανακαλύφθηκε στις 12 Μαΐου, οι ερευνητές λένε ότι είναι ακόμη υπό ανάπτυξη, «δεδομένου ότι η ομάδα έχει ένα συχνό πρόγραμμα ενημέρωσης, προσθέτοντας τακτικά νέες λειτουργίες και διορθώσεις σφαλμάτων».

Η ανάλυση της Bitdefender επισημαίνει ότι χρησιμοποιεί ένα προσαρμοσμένο πρωτόκολλο επικοινωνίας και φτάνει στον command and control (C2) server μέσω μιας από τις εννέα proxy IP addresses που επιτρέπουν την πρόσβαση στα θύματα πίσω από τα firewalls.

Το VNC component μπορεί να σταματήσει το Trickbot και να το ξεφορτώσει από τη μνήμη. Όταν ένας χειριστής ξεκινά την επικοινωνία, το module δημιουργεί μια εικονική επιφάνεια εργασίας με ένα προσαρμοσμένο interface.

Χρησιμοποιώντας τη γραμμή εντολών, ο απειλητικός παράγοντας μπορεί να κατεβάσει νέα payloads από τον C2 server, να ανοίξει έγγραφα και τα εισερχόμενα email, να κλέψει δεδομένα από το παραβιασμένο σύστημα.

Δείτε επίσης: Trickbot: Νέα μονάδα χρησιμοποιεί το Masscan για αναγνώριση τοπικού δικτύου

Μια άλλη επιλογή που ονομάζεται Native Browser ενεργοποιεί ένα πρόγραμμα περιήγησης στο Web εκμεταλλευόμενη τη δυνατότητα αυτοματοποίησης OLE στον Internet Explorer.

Η λειτουργία είναι υπό ανάπτυξη και σκοπός της είναι να κλέψει κωδικούς πρόσβασης από τον Google Chrome, τον Mozilla Firefox, το Opera και τον Internet Explorer.

Οι ερευνητές λένε ότι ενώ το παλιό vncDLL module χρησιμοποιείται από τουλάχιστον το 2018, ο διάδοχός της ενεργοποιήθηκε στις 11 Μαΐου 2021, σύμφωνα με στοιχεία που αποκαλύφθηκαν κατά την έρευνά τους.

Πηγή πληροφοριών: bleepingcomputer.com
The post Το Trickbot ενημερώνει το VNC module για στόχους υψηλής αξίας appeared first on SecNews.gr.

Διαβάστε περισσότερα

Διαβάστε επίσης...