مرکز امنیت و‌ رخدادهای‌ سایبری | APK

انتشار بدافزار Trickbot برای سرقت اطلاعات VNC ،PuTTY و RDP

انتشار بدافزار Trickbot برای سرقت اطلاعات VNC، PuTTY و RDP

نوع جدیدی از بدافزار Trickbot مشهور منتشر شده است که دارای قابلیت سرقت اطلاعات اعتباری برای Login به برنامه کاربردی به صورت Remote می‌باشد. Trickbot در واقع یک Banking malware است که اطلاعات کاربر را جهت ورود به برنامه‌های کاربردی سرقت می‌کند، این بدافزار مدت‌ها است کشف شده است و عاملان خطرآفرین به طور مداوم قابلیت‌های جدیدی را به آن اضافه می‌نمایند. پژوهشگران شرکت امنیتی TrendMicro این نوع جدید را شناسایی نمودند که دارای ترفندهای بسیار زیادی برای سرقت اطلاعات اعتباری کاربر می‌باشد.

مراحل نفوذ Trickbot

زنجیره‌ی آلودگی این بدافزار با ایمیلی آغاز می‌شود که در ظاهر یک اطلاع‌رسانی مالیاتی از موسسه‌ای مالی است که دارای یک فایل پیوست Microsoft Excel Spreadsheet با Macro فعال می‌باشد. این نوع از Trickbot، برای رمزگذاری رشته‌ای، از روتین‌های XOR یا SUB استفاده می‌کند.

وقتی که کاربر Spreadsheet مخرب را باز می‌کند، Macro اجرا شده و بدافزار Trickbot را دانلود می‌کند و آن را روی ماشین آلوده فعال می‌نماید. این Trickbot که در سال 2019 کشف شد سه عملکرد جدید زیر را اضافه می‌نماید:

  • Virtual Network Computing یا به اختصار VNC
  • PuTTY
  • پلتفرم‌های Remote Desktop Protocol یا RDP

Virtual Network Computing

ماژول‌های pwgrab برای سرقت اطلاعات ورود، vnc.lnk را که در دایرکتوری‌های زیر قرار دارد جستجو می‌نمایند.

%APPDATA%\Microsoft\Windows\Recent
%USERPROFILE%\Documents, %USERPROFILE%\Downloads

این بدافزار اطلاعات زیر را به صورت غیر مجاز از ماشین آلوده خارج (Exfiltrate) کرده و در سرورهای Command-And-Control یا به اختصار C&C پست می‌نماید:

  • Hostname متعلق به ماشین هدف
  • پورت
  • تنظیمات پراکسی

PuTTY

این بدافزار برای سرقت اطلاعات اعتباری PuTTY، مسیر زیر را جستجو می‌نماید تا Sessionهای ذخیره شده را شناسایی کرده و اطلاعاتی همچون Hostname و Username و همچنین کلید خصوصی برای احراز هویت را به سرقت می‌برد:

Software\SimonTatham\Putty\Sessions

RDP

این بدافزار برای جستجوی اطلاعات اعتباری ذخیره شده برای ورود از CredEnumerateA API استفاده نموده و Hostname ،Username و Password را به صورت غیر مجاز استخراج می‌نماید.

نشانه‌های دستگاههای آلوده شده (IOCها)

برای تشخیص دستگاه‌های آلوده به بدافزار Trickbot، وجود فایل‌های زیر را بررسی می‌نمایند:

Trickbot که به عنوان TrojanSpy.Win32.TRICKBOT.AZ شناسایی شده است.

  • 374ef83de2b254c4970b830bb93a1dd79955945d24b824a0b35636e14355fe05

Trickbot که به عنوان Trojan.Win32.MERETAM.AD شناسایی شده است.

  • Fcfb911e57e71174a31eae79433f12c73f72b7e6d088f2f35125cfdf10d2e1af
اشتراک امنیت

دسته ها