تروجان TrickBot آماده سرقت کلیدهای OpenSSH و OpenVPN می باشد

تروجان TrickBot آماده سرقت کلیدهای OpenSSH و OpenVPN می باشد

تروجان بانکی Trickbot تکامل یافته است. براساس گفته محققانی که در این هفته ماژول ربودن رمز عبور را شناسایی کردند، می تواند برای سرقت کلیدهای خصوصی OpenSSH و رمزهای عبور OpenVPN و فایل های پیکربندی مورد استفاده قرار گیرد.

Trickbot (که به عنوان TrickLoader، TheTrick، Trickster شناخته می شود) یک بدافزار ماژولار می باشد که دائماً به روز می شود و هنگامی که از اکتبر سال 2016 در فضای اینترنت مشاهده شد ، دائماً با قابلیت ها و ماژول های جدید ارتقا می یابد.

اولین نسخه های شناسایی شده آن فقط با قابلیت های تروجان بانکی آمده بودند که برای جمع آوری و استخراج داده های حساس برای صاحبان خود استفاده می شدند، TrickBot همچنان یک نرم افزار مخرب محبوب است که هنگام آلوده کردن سیستم ها خیلی خطرناک تر از سایر بدافزارها می باشد.

برنامه های OpenSSH و OpenVPN که اخیراً هدف قرار گرفته اند

ماژول تازه به روز شده Trickbot که پسورد را به سرقت می برد، توسط محققان Palo Alto Networks کشف شده است و هم اکنون برنامه های OpenSSH و OpenVPN را در 8 نوامبر دستگاه های در معرض خطر ویندوز 7 – 64Bit را هدف قرار داده است.

ماژول به سرقت برنده رمز عبور pwgrab64 که آنها پیدا کردند چیز جدیدی نیست، زیرا که در نوامبر 2018 توسط محققان مشاهده گردید در حالیکه تجزیه و تحلیل یک نسخه قادر به سرقت پسورد از چندین مرورگر وب و برنامه هایی مانند Google Chrome، Mozilla Firefox، Internet Explorer، Microsoft Edge، Microsoft Outlook، FileZilla و Winscp.

در ماه فوریه، این ماژول به سرقت برنده رمز عبور ارتقاء یافت تا گذرواژه های مورد استفاده برای تایید اعتبار سرورهای ریموت که از VNC، Putty و پروتکل ریموت دسکتاپ استفاده می کردند را بدست آورد.

درخواست های HTTP POST برای سرقت کننده رمز عبور Trickbot

محققان Palo Alto Networks اکنون دریافتند که Trickbot از درخواست های HTTP POST استفاده میکند برای ارسال کلیدهای خصوصی OpenSSH و رمزهای عبور OpenVPN و فایل های تنظیمات برای سرورهای کنترل و فرمان (C2).

با این حال، همانطور که آنها بعد از بررسی دقیق تر ترافیک مخرب C2 بر روی سیستمهای ویندوز 7 و ویندوز 10 متوجه شدند، این تروجان هنوز هیچ دیتایی استخراج نکرده است، با اشاره به اینکه سازندگان فقط در حال آزمایش این قابلیت جدید هستند.

همنطور که آنها بعداً مشخص کردند، این نوع جدید از Trickbot هنوز به همان اندازه خطرناک است که می بینیم هنوز می تواند کلیدهای خصوصی را از برنامه های مرتبط با SSH مانند PuTTY بگیرد و آنها را به اپراتورهای خود تحویل دهد.

تیم تحقیقاتی Palo Alto Networks نتیجه گرفت که این الگوهای به روز شده نشان می دهد، Trickbot همچنان در حال تکامل است. با این حال، بهترین روشهای امنیتی مانند اجرای نسخه های به روز شده و پچ شده از مایکروسافت ویندوز باعث متوقف شده یا مانع شدن آلودگی های Trickbot خواهد شد.

تروجان بانکی مرتباً به روز می شود

Trickbot همچنین یکی از تهاجمی ترین بدافزارهای امروزی پس از جایگزینی Emotet به شمار می رود و به عنوان توزیع شده ترین نسخه از طریق اسپم های آلوده می باشد تا زمانیکه اخیراً در طی ماه اوت احیا شد.

در ماه آگوست، اپراتورهای Trickbot وایرلس های Verizon، T-Mobile و کاربران Sprint را که قصد سرقت کدهای PIN آنها را از طریق webinject پویا داشتند، هدف قرار دادند و همچنین از پردازنده آنلاین کلمات Google Docs استفاده کردند تا قربانیان را با استفاده از PDF استتار شده، آلوده کنند.

Trickbot که با قابلیت دور زدن Windows Defender به روز شده بود، با یک ماژول پروکسی جدید IcedID برای سرقت اطلاعات بانکی ارتقاء یافت و سازندگان آن یک ماژول جدید برای سرقت کوکی های مرورگر در ماه جولای معرفی کردند.

در ماه ژانویه، محققان FireEye و CrowdStrike کشف کردند که Trickbot به تجارت Access-as-a-Service منتقل شده است و سایر اپراتورها را قادر می سازد به شبکه هایی قبلاً آلوده شده بودند دسترسی پیدا کنند و پوسته های معکوس را برای آنها فراهم کنند تا به بقیه شبکه نفوذ پیدا کنند و مانع بارگذاری آنها شوند.

حتی در ژانویه سال 2017، Trickbot قابلیت تکثیر از طریق توزیع اجزای خود را به دست آورد و از طریق آن توانایی خود برای توزیع سریع در کل شبکه را بهبود بخشید.

منبع: BleepingComputer.com