در حالی که چند ماه قبل نویسندگان Trickbot قابلیت قفل نمودن صفحه و توانایی گریز از سد ابزارهای شناسایی را به این بدافزار بانکی افزوده بودند، اکنون شرکت ترند مایکرو از تجهیز Trickbot به ماژولی برای سرقت رمزهای عبور مرورگرهای رایج و چندین نرمافزار پراستفاده دیگر خبر داده است.
فهرست مرورگرها و نرمافزارهای مذکور بهشرح زیر است:
- Google Chrome
- Mozilla Firefox
- Internet Explorer
- Microsoft Edge
- Microsoft Outlook
- Filezilla
- WinSCP
به گزارش شرکت مهندسی شبکه گستر، دستیابی به رمزهای عبور این نرمافزارها از طریق پویش فایلهای Cookie، سوابق فراخوانی سایتها، اطلاعات موسوم به Autofill و ارسالهای صورت گرفته در بستر پودمان HTTP Post انجام میپذیرد.
نویسندگان Trickbot ماژول جدید را از طریق سرورهای فرماندهی در اختیار بدافزار نصب شده بر روی دستگاههای تحت سیطره خود قرار میدهند.
خوشبختانه حداقل در حال حاضر ماژول جدید توانایی سرقت رمزهای عبور نرمافزارهای موسوم به Password Manager را دارا نمیباشد. هر چند که بر اساس گزارش ترند مایکرو قابلیت جمعآوری دادهها توسط Trickbot از طریق افزونههای مرتبط با نرمافزارهای مذکور هنوز مورد بررسی محققان این شرکت قرار نگرفته است.
Trickbot برای ماندگاری بر روی دستگاه قربانی اقدام به ایجاد سرویسی میکند که در هر بار راهاندازی شدن سیستم عامل بهصورت خودکار شروع به کار میکند.
از جمله روشهای انتشار این بدافزار، آلودهسازی دستگاه کاربران در زمان مراجعه آنها به سایتهای حاوی تبلیغات مخرب است (Malvertising). ذکر این نکته ضروی است که انتشار در سطح شبکه با عملکرد کرمگونه نیز از جمله تواناییهای این بدافزار محسوب میشود و بنابراین آلوده شدن اولین دستگاه در شبکه، دستگاههای دیگر سازمان را نیز در معرض خطر قرار میدهد.
نخستین نسخه از Trickbot در سال 2016 شناسایی شد؛ برخی کارشناسان Trickbot را بدافزاری مبتنی بر بدافزار بانکی Dyreza میدانند. علاوه بر توانایی جاسوسی از کاربران و مشتریان بسیاری از بانکها این بدافزار امکان تزریق کدهای مخرب را در صفحات مرورگر قربانی – با هدف دستدرازی به صفحات بانکی فراخوانی شده توسط کاربر – برای مهاجمان میسر میکند که پیشتر در این خبر به تفصیل به آن پرداخته شد.
همچنین Trickbot قادر به سرقت ارز رمز از کیفهای بیتکوین و جمعآوری اطلاعات اصالتسنجی و ایمیلها با استفاده از ابزار Mimikatz است.
توضیح این که نسخه بررسی شده توسط شرکت ترند مایکرو با نامهای زیر قابل شناسایی است:
Bitdefender:
– Trojan.Emotet.JG
McAfee:
– RDN/Generic.grp
Sophos:
– Mal/Generic-S
مشروح گزارش ترند مایکرو در لینک زیر قابل دریافت و مطالعه است: