Όπως ανακοίνωσαν ερευνητές ασφαλείας, εντοπίστηκε μία νέα μονάδα του κακόβουλου λογισμικού Trickbot, η οποία μπορεί να αναγνωρίσει τα τοπικά δίκτυα. Η νέα μονάδα ονομάστηκε masrv και ενσωματώνει ένα αντίγραφο του βοηθητικού προγράμματος ανοιχτού κώδικα Masscan, για να σαρώσει τοπικά δίκτυα για άλλα συστήματα με ανοιχτές θύρες, στα οποία μπορεί να επιτεθεί σε μεταγενέστερο στάδιο.
Αυτό που κάνει στην ουσία το masrv, είναι να τοποθετεί το στοιχείο σε συσκευές που έχουν μολυνθεί πρόσφατα, να στέλνει μια σειρά εντολών Masscan, να αφήνει το στοιχείο να σαρώσει το τοπικό δίκτυο και να ανεβάζει τα αποτελέσματα σάρωσης σε έναν διακομιστή εντολών και ελέγχου Trickbot.
Εάν η σάρωση εντοπίσει συστήματα με ευαίσθητες θύρες ή θύρες διαχείρισης που είναι ανοιχτές μέσα σε ένα εσωτερικό δίκτυο, η συμμορία του Trickbot μπορεί στη συνέχεια να αναπτύξει άλλες μονάδες ειδικευμένες στην εκμετάλλευση αυτών των κενών και να μετακινηθεί πλευρικά για να μολύνει νέα συστήματα.
“Δεν είναι γενικά καινοτόμο – αλλά είναι περίεργο να συμπεριληφθεί στο Trickbot”, δήλωσε στο ZDNet η Suweera DeSouza, αναλύτρια κακόβουλου λογισμικού στην Kryptos Logic και αυτή που ανακάλυψε το masrv.
Η DeSouza είπε ότι πιστεύει ότι η νέα μονάδα είναι ακόμη υπό δοκιμή, κάτι που έχει κάνει το Trickbot στο παρελθόν και με άλλα modules, τα οποία συχνά κατέληξαν να προστίθενται στο μεγάλο οπλοστάσιο των συστατικών του κακόβουλου λογισμικού.
“Βρήκαμε μόνο μια παραλλαγή αυτής της ενότητας”, δήλωσε η DeSouza.
“Η πρόσφατη ενότητα που καταρτίστηκε έγινε στις 4 Δεκεμβρίου 2020. Από τότε δεν έχουμε συναντήσει ξανά τη λειτουργική μονάδα.”
Μια τεχνική ανάλυση σχετικά με τη νέα μονάδα Masrv Trickbot, που συνέταξε η DeSouza και οι συνεργάτες της, είναι διαθέσιμη στο blog της Kryptos Logic.
Άλλα στελέχη κακόβουλου λογισμικού ήταν επίσης γνωστό ότι περιλαμβάνουν ενότητες αναγνώρισης δικτύου στο παρελθόν, αλλά τέτοιες ενότητες δεν είναι συνηθισμένες.
Αφού οι υπηρεσίες επιβολής του νόμου κατάφεραν να καταργήσουν το botnet κακόβουλου λογισμικού της Emotet την περασμένη εβδομάδα, το Trickbot θεωρείται πλέον η κύρια de-facto απειλή για εταιρικά περιβάλλοντα.
Το Trickbot επέζησε επίσης μια απόπειρα κατάργησης το περασμένο φθινόπωρο. Μετά από πολλά σκαμπανεβάσματα, το botnet ξαναζωντάνεψε στα τέλη Ιανουαρίου.
