Το Trickbot Malware επιστρέφει με ένα νέο VNC Module για να κατασκοπεύσει τα θύματά του
Οι ερευνητές της κυβερνοασφάλειας αποκάλυψαν μια συνεχιζόμενη αναζωπύρωση του κακόβουλου λογισμικού Trickbot, καθιστώντας σαφές ότι η ομάδα εγκλήματος στον κυβερνοχώρο με έδρα τη Ρωσία κινεί τα νήματα με στόχο να ανανεώνει την επιθετική της υποδομή ως απάντηση στις πρόσφατες προσπάθειες της κυβέρνησης για επιβολή του νόμου.
“Οι νέες δυνατότητες που ανακαλύφθηκαν χρησιμοποιούνται για την παρακολούθηση και τη συλλογή πληροφοριών των θυμάτων, χρησιμοποιώντας ένα προσαρμοσμένο πρωτόκολλο επικοινωνίας για την απόκρυψη μετάδοσης δεδομένων μεταξύ διακομιστών [command-and-control] και θυμάτων – καθιστώντας τις επιθέσεις δύσκολο να εντοπιστούν”, δήλωσε ο Bitdefender σε μια τεχνική εγγραφή- δημοσιεύθηκε τη Δευτέρα, υποδηλώνοντας αύξηση των εκλεπτυσμένων τακτικών της ομάδας.
“Το Trickbot δεν δείχνει κανένα σημάδι επιβράδυνσης”, σημείωσαν οι ερευνητές.
Τα botnets σχηματίζονται όταν εκατοντάδες ή χιλιάδες παραβιασμένες συσκευές κατατάσσονται σε ένα δίκτυο που εκτελείται από κυβερνοεγκληματίες, οι οποίοι στη συνέχεια χρησιμοποιούνται συχνά για να πυροδοτήσουν επιθέσεις denial-of-network με σκοπό να επιτεθούν σε επιχειρήσεις και ευαίσθητες υποδομές εκτός σύνδεσης. Αλλά με τον έλεγχο αυτών των συσκευών, απειλητικοί παράγοντες μπορούν επίσης να χρησιμοποιούν botnets για τη διάδοση κακόβουλου λογισμικού malware ή spam για την ανάπτυξη ransomware κρυπτογράφησης αρχείων σε μολυσμένους υπολογιστές.
Το Trickbot δεν διαφέρει. Η περίφημη συμμορία εγκλήματος στον κυβερνοχώρο πίσω από την επιχείρηση – που ονομάζεται Wizard Spider – έχει ένα ιστορικό εκμετάλλευσης μολυσμένων υπολογιστών με σκοπό να κλέψουν ευαίσθητες πληροφορίες, να μην εντοπίζεται σε ένα δίκτυο και ακόμη να γίνει μέσω για άλλα κακόβουλα προγράμματα, όπως το ransomware, βελτιώνοντας συνεχώς την επιτυχία τους προσθέτοντας modules με νέα λειτουργικότητα, αυξάνοντας της αποτελεσματικότητάς τους.
“Το TrickBot έχει εξελιχθεί για να χρησιμοποιήσει μια πολύπλοκη υποδομή που θέτει σε κίνδυνο διακομιστές τρίτων, χρησιμοποιώντας τους για να φιλοξενεί κακόβουλα προγράμματα”, αποκάλυψε ο Lumen’s Black Lotus Labs τον περασμένο Οκτώβριο. “Μολύνει επίσης συσκευές καταναλωτών, όπως δρομολογητές DSL ενώ οι εγκληματίες αλλάζουν συνεχώς τις διευθύνσεις IP τους ώστε να κάνουν την εντόπιση του εγκλήματός τους όσο πιο δύσκολη γίνεται.”
Παρόλο που οι προσπάθειες των συμμοριών ενδέχεται να μην ήταν απολύτως επιτυχημένες, η Microsoft είπε στο The Daily Beast ότι συνεργάστηκε με παρόχους υπηρεσιών διαδικτύου (ISPs) για να αντικαταστήσει δρομολογητές που είχαν επηρεασθεί με το κακόβουλο λογισμικό Trickbot στη Βραζιλία και τη Λατινική Αμερική.
