Trickbot kötü amaçlı yazılım güncellemesi, algılanmayı daha da zorlaştırıyor

Trickbot kötü amaçlı yazılımı, tespit edilmesini daha da zorlaştıran yeni bir yayılma yöntemiyle güncellendi. Hayatına bankacılık trojanı olarak başlayan Trickbot, ilk olarak 2016 yılında ortaya çıktı, ancak yıllar içinde tam teşekküllü bir bilgi vapuru olarak kullanılmanın yanı sıra enfekte makinelere arka kapı erişimi sağlamak, siber olanak sağlamak için tekrar tekrar kullanıldığı için suçlu grupları, güvenliği ihlal edilmiş ağlara diğer kötü amaçlı yazılımları iletmek için ağ geçidi olarak kullanılmakta.

Trickbot ayrıca, kendisini açıldığında bir Windows makinesinde yürüten kötü amaçlı ekleri dağıtmak için kimlik avı e-posta spam kampanyaları kullanarak ek kurbanlara yayılmasına yardımcı olmak için bir botnet olarak da çalışabilir. Bir makinede çalıştırıldıktan sonra, Trickbot bir ağ etrafında yanlamasına hareket etmek için EternalBlue güvenlik açığından yararlanabilir.


Şimdi Palo Alto Networks’teki araştırmacılar, Nisan ayından beri faaliyette olan daha iyi bir kaçınma tespiti yöntemi sağlayan Trickbot’a yönelik en son güncellemeyi detaylandırdılar. Trickbot yazarlarının yeteneklerini kolayca eklemesine veya kaldırmasına izin veren modüler bir yapıda ve bu, en son değişikliğin kolayca yapılmasını sağlamakta

Mworm adlı bir modül, geçen yıl Eylül ayından bu yana Trickbot’un yayılmasına yardımcı olmaktan sorumluydu, ancak şimdi yeni bir modül olan Nworm ile değiştirildi. Araştırmacılar virüslü bir Windows 7 istemcisinde göründüğünde fark ettiler ve bulaşan sistemdeki Trickbot’un HTTP trafiğini büyük ölçüde değiştirdiğini tespit ettiler.

Trickbot bir etki alanı denetleyicisine bulaştığında, kötü amaçlı yazılım bellekten çalıştırılır ve virüslü bir makinede hiçbir artefakt kalmamasını sağlayarak algılamayı zorlaştırır. Buna ek olarak, Nworm tarafından kullanılan ikili, internet üzerinden aktarıldığında şifrelenir, bu da kötü amaçlı yazılımın eylemlerini gizlemeye yardımcı olur. Palo Alto Networks’ün Birim 42 araştırma bölümünde tehdit istihbarat analisti Brad Duncan, “Bu, TrickBot’taki mevcut tehdit manzaramızda geliştikçe bir dizi değişiklikteki sonuncudur.” Dedi.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!