Η συμμορία του TrickBot κυκλοφόρησε την 100ή έκδοση του malware με νέες πρόσθετες δυνατότητες που του επιτρέπουν να αποφεύγει τον εντοπισμό. Το TrickBot είναι ένα malware που εγκαθίσταται συνήθως μέσω phishing email ή κάποιου άλλου malware. Όταν εγκαθίσταται στο σύστημα-στόχο, το TrickBot κινείται “αθόρυβα” στον υπολογιστή του θύματος, ενώ πραγματοποιεί λήψη άλλων modules για την εκτέλεση διαφόρων εργασιών.
Αυτά τα modules εκτελούν ποικίλες κακόβουλες δραστηριότητες, συμπεριλαμβανομένης της κλοπής του Active Directory Services database ενός domain, της εξάπλωσης σε ένα δίκτυο, του κλειδώματος οθόνης, της κλοπής των cookies και των κωδικών πρόσβασης του browser και της κλοπής κλειδιών OpenSSH.
Το TrickBot ολοκληρώνει μια επίθεση δίνοντας πρόσβαση στους χάκερς που βρίσκονται πίσω από το Ryuk και το Conti ransomware, ώστε να επιδεινώσουν ακόμα περισσότερο τις συνέπειες με τις οποίες θα έρθει αντιμέτωπο το θύμα.
Η Microsoft πραγματοποιώντας, σε συνεργασία με άλλες εταιρείες, μια συντονισμένη επίθεση εναντίον της υποδομής του TrickBot τον περασμένο μήνα, ήλπιζε ότι η hacking συμμορία θα χρειαστεί αρκετό χρόνο για να ανακάμψει και να επανέλθει στο τοπίο των απειλών. Ωστόσο, η συμμορία εξακολουθεί να συνεχίζει την δράση της, γεγονός που αποδεικνύεται από την κυκλοφορία της 100ής έκδοσης του malware.
Όπως αναφέρει το BleepingComputer, η 100ή έκδοση ανακαλύφθηκε από τον Vitali Kremez της Advanced Intel, ο οποίος διαπίστωσε ότι οι κυβερνοεγκληματίες πρόσθεσαν νέες δυνατότητες στο TrickBot, ώστε να είναι πιο δύσκολη η ανίχνευσή του. Με αυτήν την έκδοση, το TrickBot εισάγει τώρα το DLL στο νόμιμο Windows wermgr.exe (Αναφορά προβλημάτων των Windows) εκτελέσιμο απευθείας από τη μνήμη χρησιμοποιώντας κώδικα από το project “MemoryModule”. Το MemoryModule είναι μια βιβλιοθήκη που μπορεί να χρησιμοποιηθεί για την πλήρη φόρτωση ενός DLL από τη μνήμη – χωρίς να αποθηκεύεται πρώτα στο δίσκο.
Σύμφωνα με τον Kremez, το malware προχωρά στην συνέχεια σε DLL injection, χρησιμοποιώντας το Doppel Hollowing ή την επεξεργασία doppelganging, για να αποφύγει την ανίχνευση από software ασφαλείας.
Είναι σαφές ότι η συμμορία του TrickBot δεν επέτρεψε στην επίθεση και την εν μέρει καταστροφή της υποδομής τους να τους κρατήσει πίσω, αντιθέτως συνεχίζουν να ενσωματώνουν νέες δυνατότητες για να αποτρέψουν τον εντοπισμό του malware τους. Aυτό σημαίνει ότι το TrickBot ενδέχεται να γίνει ακόμα πιο ισχυρό και επικίνδυνο στις μελλοντικές του επιθέσεις. Επομένως, τα άτομα μεμονωμένα αλλά και οι οργανισμοί πρέπει να είναι προετοιμασμένοι και ιδιαίτερα προσεκτικοί στα email που ανοίγουν.
