Το botnet malware Trickbot που διανέμει συχνά διάφορα στελέχη ransomware, εξακολουθεί να είναι η πιο διαδεδομένη απειλή καθώς οι προγραμματιστές του ενημερώνουν το VNC module που χρησιμοποιείται για απομακρυσμένο έλεγχο των μολυσμένων συστημάτων.
Η δραστηριότητά του αυξάνεται συνεχώς από την πλήρη διακοπή του botnet Emotet τον Ιανουάριο, που λειτούργησε ως διανομέας τόσο για το Trickbot όσο και για άλλους απειλητικούς παράγοντες υψηλού προφίλ.
Δείτε επίσης: Η ομάδα πίσω από το Trickbot συνδέεται με το ransomware Diavol
Η πιο διαδεδομένη απειλή
Η Γη κάποτε είχε έναν δακτύλιο σαν τον Κρόνο
Blindsight: Έγκριση του FDA για το εμφύτευμα της Neuralink
Προσοχή! Το StealC malware κλέβει τους κωδικούς σας
Το Trickbot βρίσκεται εδώ και σχεδόν μισή δεκαετία και έχει μεταβεί από ένα banking trojan σε ένα από τα μεγαλύτερα botnets που κυκλοφορεί σήμερα που πωλεί πρόσβαση σε διάφορους απειλητικούς παράγοντες.
Ορισμένες από τις ransomware επιχειρήσεις που χρησιμοποιούν αυτό το botnet για πρόσβαση στο δίκτυο είναι οι Ryuk, Conti, REvil, καθώς και μια νέα που ονομάζεται Diavol, το Ρουμανικό για το Devil.
Από την κατάργηση του Emotet από την επιβολή του νόμου, η δραστηριότητα του Trickbot άρχισε να αυξάνεται σε τέτοια επίπεδα που τον Μάιο ήταν το πιο διαδεδομένο malware στο ραντάρ του Check Point.
Το malware διατήρησε τη θέση του αυτό το μήνα, σημειώνει σήμερα η εταιρεία cybersecurity σε μια έκθεση, προσθέτοντας ότι οι συντηρητές του Trickbot εργάζονται συνεχώς για να το βελτιώσουν.
Σύμφωνα με το Check Point, το Trickbot επηρέασε το 7% των οργανισμών σε όλο τον κόσμο, ακολουθούμενο από το XMRig cryptocurrency miner the Formbook info stealer, το οποίο επηρέασε το 3% των οργανισμών που ελέγχει το Check Point παγκοσμίως.
Δείτε επίσης: DoJ ΗΠΑ: Κατηγορεί Λετονή για την ανάπτυξη του Trickbot malware
Νέο VNC module στο έργο
Σε μια άλλη έκθεση, η ρουμανική εταιρεία κυβερνοασφάλειας Bitdefender αναφέρει ότι τα συστήματά της εντόπισαν ένα νέο VNC module του Trickbot (vncDLL), το οποίο χρησιμοποιήθηκε μετά από παραβιάσεις στόχων υψηλού προφίλ.
Το ενημερωμένο module ονομάζεται tvncDLL και επιτρέπει στον απειλητικό παράγοντα να παρακολουθεί το θύμα και να συλλέγει πληροφορίες.
Παρόλο που το tvncDLL ανακαλύφθηκε στις 12 Μαΐου, οι ερευνητές λένε ότι είναι ακόμη υπό ανάπτυξη, «δεδομένου ότι η ομάδα έχει ένα συχνό πρόγραμμα ενημέρωσης, προσθέτοντας τακτικά νέες λειτουργίες και διορθώσεις σφαλμάτων».
Η ανάλυση της Bitdefender επισημαίνει ότι χρησιμοποιεί ένα προσαρμοσμένο πρωτόκολλο επικοινωνίας και φτάνει στον command and control (C2) server μέσω μιας από τις εννέα proxy IP addresses που επιτρέπουν την πρόσβαση στα θύματα πίσω από τα firewalls.
Το VNC component μπορεί να σταματήσει το Trickbot και να το ξεφορτώσει από τη μνήμη. Όταν ένας χειριστής ξεκινά την επικοινωνία, το module δημιουργεί μια εικονική επιφάνεια εργασίας με ένα προσαρμοσμένο interface.
Χρησιμοποιώντας τη γραμμή εντολών, ο απειλητικός παράγοντας μπορεί να κατεβάσει νέα payloads από τον C2 server, να ανοίξει έγγραφα και τα εισερχόμενα email, να κλέψει δεδομένα από το παραβιασμένο σύστημα.
Δείτε επίσης: Trickbot: Νέα μονάδα χρησιμοποιεί το Masscan για αναγνώριση τοπικού δικτύου
Μια άλλη επιλογή που ονομάζεται Native Browser ενεργοποιεί ένα πρόγραμμα περιήγησης στο Web εκμεταλλευόμενη τη δυνατότητα αυτοματοποίησης OLE στον Internet Explorer.
Η λειτουργία είναι υπό ανάπτυξη και σκοπός της είναι να κλέψει κωδικούς πρόσβασης από τον Google Chrome, τον Mozilla Firefox, το Opera και τον Internet Explorer.
Οι ερευνητές λένε ότι ενώ το παλιό vncDLL module χρησιμοποιείται από τουλάχιστον το 2018, ο διάδοχός της ενεργοποιήθηκε στις 11 Μαΐου 2021, σύμφωνα με στοιχεία που αποκαλύφθηκαν κατά την έρευνά τους.
Πηγή πληροφοριών: bleepingcomputer.com