Η δραστηριότητα του TrueBot downloader trojan botnet αυξήθηκε σημαντικά τον προηγούμενο μήνα, λένε οι ερευνητές.
“Το TrueBot είναι ένα downloader trojan botnet που χρησιμοποιεί command and control servers για τη συλλογή πληροφοριών σχετικά με παραβιασμένα συστήματα και χρησιμοποιεί αυτό το παραβιασμένο σύστημα ως σημείο εκκίνησης για περαιτέρω επιθέσεις”, δήλωσε ο Fae Carlisle της VMware.
Ενεργό τουλάχιστον από το 2017, το TrueBot συνδέεται με μια ομάδα γνωστή ως Silence, η οποία πιστεύεται ότι μοιράζεται overlaps με τον διαβόητο ρωσικό κυβερνοεγκληματία που είναι γνωστός ως Evil Corp.
Δείτε επίσης: Η φαρμακοβιομηχανία Eisai δέχτηκε επίθεση ransomware
Πρόσφατες μολύνσεις από το TrueBot αξιοποίησαν ένα κρίσιμο ελάττωμα στο Netwrix Auditor (CVE-2022-31199, με βαθμολογία CVSS 9.8) καθώς και το Raspberry Robin ως φορείς παράδοσης.
Η VMware κατέγραψε μια αλυσίδα επίθεσης που ξεκινά με τη λήψη ενός εκτελέσιμου αρχείου με το όνομα “update.exe” από το Google Chrome, υποδηλώνοντας ότι οι χρήστες παρασύρονται στη λήψη του κακόβουλου λογισμικού με το πρόσχημα μιας ενημέρωσης λογισμικού.
Μόλις εκτελεστεί, το Update.exe εγκαθιστά μια σύνδεση με μια γνωστή διεύθυνση IP του TrueBot που βρίσκεται στη Ρωσία για να ανακτήσει ένα εκτελέσιμο αρχείο δεύτερου σταδίου (“3ujwy2rz7v.exe”), το οποίο στη συνέχεια εκκινείται χρησιμοποιώντας την εντολή Windows Command Prompt.
Το εκτελέσιμο πρόγραμμα συνδέεται σε ένα command-and-control (C2) domain και εξάγει ευαίσθητες πληροφορίες από τον υπολογιστή. Είναι επίσης ικανό για απαρίθμηση διεργασιών και συστημάτων.
Δείτε επίσης: Deepfake & Sextortion: Απατεώνες δημιουργούν ακατάλληλο περιεχόμενο χρησιμοποιώντας τα social media σας
“Το TrueBot μπορεί να είναι μια ιδιαίτερα δυσάρεστη μόλυνση για οποιοδήποτε δίκτυο”, είπε ο Carlisle. “Όταν ένας οργανισμός μολύνεται με αυτό το κακόβουλο λογισμικό, μπορεί γρήγορα να κλιμακωθεί και να γίνει μεγαλύτερη μόλυνση, παρόμοια με το πώς εξαπλώνεται το ransomware σε ένα δίκτυο.”
Τα ευρήματα ήρθαν στο φως, καθώς η SonicWall παρουσίασε λεπτομερώς μια νέα παραλλαγή του κακόβουλου λογισμικού λήψης, γνωστή ως GuLoader (επίσης γνωστή ως CloudEyE), η οποία χρησιμοποιείται για την παράδοση ενός ευρέος φάσματος κακόβουλου λογισμικού, συμπεριλαμβανομένων των Agent Tesla, Azorult και Remcos.
Δείτε επίσης: Οι χάκερ Kimsuky υποδύονται τους δημοσιογράφους για να κλέψουν πληροφορίες
“Στην πιο πρόσφατη παραλλαγή του GuLoader, εισάγει νέους τρόπους για να δημιουργηθούν εξαιρέσεις που εμποδίζουν την πλήρη διαδικασία ανάλυσης και την εκτέλεσή της σε ελεγχόμενο περιβάλλον”, δήλωσε η SonicWall.
Πηγή πληροφοριών: thehackernews.com
