TrickBot теперь вызывает сбой браузеров исследователей, чтобы заблокировать анализ вредоносного ПО

1
Хакеры используют критическую ошибку VMware CVE-2022-22954, исправьте ее сейчас

Печально известная вредоносная программа TrickBot получила новые функции, которые усложняют ее исследование, анализ и обнаружение в последних вариантах, включая сбой вкладок браузера при обнаружении украшенных скриптов.

TrickBot доминирует на рынке вредоносных программ с 2016 года, постоянно добавляя оптимизации и улучшения, а также способствуя развертыванию вредоносных программ и программ-вымогателей.

Поскольку TrickBot является модульным, злоумышленники могут развертывать модули, которые выполняют широкий спектр вредоносных действий, включая атаки «человек в браузере» для кражи учетных данных онлайн-банкинга, кражу баз данных Active Directory, распространение по сети, кражу данных, и больше.

Помимо того, что TrickBot является банковским трояном, он также используется для развертывания других полезных нагрузок благодаря своей незаметности и эффективности.

Совсем недавно он был связан с группой вымогателей Diavol, бандой вымогателей Conti и даже с возрождением Emotet.

Исследователи из IBM Trusteer проанализировали последние образцы, чтобы увидеть, какие новые функции антианализа недавно были введены авторами, и представили некоторые интересные результаты в своем отчете.

Исследователи не приветствуются

Во-первых, разработчики TrickBot используют ряд уровней обфускации и кодирования base64 для сценариев, включая минимизацию, извлечение и замену строк, числовую базу и представление, внедрение мертвого кода и исправление обезьян.

В мире вредоносных программ ожидается обфускация, но TrickBot имеет много уровней и избыточных частей, что делает анализ медленным, громоздким и часто дает неубедительные результаты.

Во-вторых, при внедрении вредоносных сценариев на веб-страницы для кражи учетных данных инъекции не задействуют локальные ресурсы , а полагаются исключительно на серверы субъектов. Таким образом, аналитики не могут извлекать образцы из памяти зараженных машин.

TrickBot взаимодействует с сервером управления и контроля (C2) по протоколу HTTPS, который поддерживает зашифрованный обмен данными .

Кроме того, запросы на инъекции включают параметры, которые помечают неизвестные источники, поэтому аналитики не могут получать образцы из C2 с помощью незарегистрированной конечной точки.

Собрав отпечаток устройства, операторы TrickBot могут внедрить собственный скрипт в браузер каждой жертвы, ориентируясь на конкретный банк и убеждая его систему, что он взаимодействует с реальным клиентом.

Наконец, TrickBot включает в себя сценарий защиты от отладки в коде JS, который помогает ему предвидеть, когда он анализируется, и запускает перегрузку памяти, которая приводит к сбою страницы.

Раньше TrickBot пытался определить, анализируется ли он, проверяя разрешение экрана хоста, но теперь он также ищет признаки «улучшения кода».

Улучшение кода — это преобразование запутанного кода или развернутого текста в контент, который легче читается человеческим глазом и, следовательно, в нем легче идентифицировать интересный код.

В последних версиях TrickBot используются регулярные выражения, чтобы определить, когда один из внедряемых им скриптов был изменен, что обычно указывает на то, что исследователь безопасности анализирует его.

При обнаружении измененного кода TrickBot теперь вызывает сбой браузера, чтобы предотвратить дальнейший анализ внедренного скрипта.

«TrickBot использует RegEx для обнаружения улучшенной настройки и запускает себя в цикл, который увеличивает размер динамического массива на каждой итерации. После нескольких раундов память в конечном итоге перегружается, и браузер дает сбой», — объясняют исследователи IBM Trusteer в новом блоге.

Как оставаться в безопасности

TrickBot обычно попадает в целевую систему через фишинговые электронные письма, содержащие вредоносное вложение, выполняющее макросы для загрузки и установки вредоносных программ.

Помимо осторожного отношения к входящим электронным письмам, также рекомендуется включить многофакторную аутентификацию для всех ваших учетных записей и регулярно отслеживать журналы входа, где это возможно.

Поскольку многие заражения TrickBot заканчиваются атаками программ-вымогателей, соблюдение правил сегментации сети и регулярное расписание резервного копирования в автономном режиме также имеют жизненно важное значение для сдерживания потенциальных угроз.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии