TRICKBOT ПОЛУЧИЛ МОДУЛЬ ДЛЯ РАССЫЛКИ СПАМА
16.07.19
В ходе одной из текущих TrickBot-кампаний исследователи обнаружили вариант зловреда, загружающий новый компонент. Анализ показал, что этот модуль предназначен для сбора учетных данных электронной почты и контактов из ящиков жертвы, а также для рассылки вредоносного спама с ее адреса.
Windows-троян TrickBot появился на интернет-арене в 2016 году и с тех пор постоянно совершенствуется, расширяя свою функциональность за счет добавления новых модулей. Изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами, а более современные версии зловреда умеют воровать учетные данные пользователей служб удаленного доступа и куки-файлы, а также перехватывать трафик жертвы с целью фишинга.
Модификация TrickBot, обнаруженная экспертами Deep Instinct, по команде загружает с американского или румынского сервера модуль, которому было присвоено кодовое имя TrickBooster. Основной функцией этого компонента, по словам исследователей, является сбор учетных данных и email-адресов на машине жертвы; для этого TrickBooster запускает процесс OUTLOOK.exe и взаимодействует с ним, используя Microsoft Outlook Messaging API (MAPI).
Собранную информацию бот отправляет на свой сервер (выявлены два: один прописан в США, другой — в Румынии), а затем получает из центра управления (с московским IP-адресом) команду на рассылку спама. Примечательно, что отправленные от имени жертвы письма зловред удаляет из ее ящика, чтобы скрыть несанкционированные рассылки.
Исследователям удалось проникнуть на серверы, используемые TrickBooster. Как оказалось, операторы трояна собрали с помощью нового модуля базу из 250 млн email-адресов. Основную массу похищенного составили частные ящики на Gmail, Yahoo, Hotmail, MSN и AOL; в этом дампе также числились госструктуры США и Великобритании, британские и канадские ВУЗы, региональные органы исполнительной власти Канады. Сверка нескольких тысяч адресов со списками жертв известных утечек показала, что это новая массовая компрометация email.
Код всех найденных образцов TrickBooster был подписан действующим сертификатом — их оказалось несколько, и все выданы на имя разных мелких британских компаний, в том числе даже не связанных с разработкой ПО. Эксперты связались с УЦ Thawte (собственность DigiCert) и сообщили о злоупотреблении; скомпрометированные сертификаты уже отозваны.
Результатами анализа Deep Instinct планирует поделиться с национальными CERT и другими заинтересованными органами. Исследование еще не закончено, и эксперты обещают в скором времени опубликовать дополнительные подробности.
Как долго продержится эксперимент с TrickBooster, покажет время. У авторов TrickBot уже был подобный опыт: в конце 2017 года они выпустили в Сеть модификацию трояна, способную собирать данные из Outlook\Profiles, проксировать email-трафик и рассылать рекламный спам.
Истосник: Threatpost
16.07.19
В ходе одной из текущих TrickBot-кампаний исследователи обнаружили вариант зловреда, загружающий новый компонент. Анализ показал, что этот модуль предназначен для сбора учетных данных электронной почты и контактов из ящиков жертвы, а также для рассылки вредоносного спама с ее адреса.
Windows-троян TrickBot появился на интернет-арене в 2016 году и с тех пор постоянно совершенствуется, расширяя свою функциональность за счет добавления новых модулей. Изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами, а более современные версии зловреда умеют воровать учетные данные пользователей служб удаленного доступа и куки-файлы, а также перехватывать трафик жертвы с целью фишинга.
Модификация TrickBot, обнаруженная экспертами Deep Instinct, по команде загружает с американского или румынского сервера модуль, которому было присвоено кодовое имя TrickBooster. Основной функцией этого компонента, по словам исследователей, является сбор учетных данных и email-адресов на машине жертвы; для этого TrickBooster запускает процесс OUTLOOK.exe и взаимодействует с ним, используя Microsoft Outlook Messaging API (MAPI).
Собранную информацию бот отправляет на свой сервер (выявлены два: один прописан в США, другой — в Румынии), а затем получает из центра управления (с московским IP-адресом) команду на рассылку спама. Примечательно, что отправленные от имени жертвы письма зловред удаляет из ее ящика, чтобы скрыть несанкционированные рассылки.
Исследователям удалось проникнуть на серверы, используемые TrickBooster. Как оказалось, операторы трояна собрали с помощью нового модуля базу из 250 млн email-адресов. Основную массу похищенного составили частные ящики на Gmail, Yahoo, Hotmail, MSN и AOL; в этом дампе также числились госструктуры США и Великобритании, британские и канадские ВУЗы, региональные органы исполнительной власти Канады. Сверка нескольких тысяч адресов со списками жертв известных утечек показала, что это новая массовая компрометация email.
Код всех найденных образцов TrickBooster был подписан действующим сертификатом — их оказалось несколько, и все выданы на имя разных мелких британских компаний, в том числе даже не связанных с разработкой ПО. Эксперты связались с УЦ Thawte (собственность DigiCert) и сообщили о злоупотреблении; скомпрометированные сертификаты уже отозваны.
Результатами анализа Deep Instinct планирует поделиться с национальными CERT и другими заинтересованными органами. Исследование еще не закончено, и эксперты обещают в скором времени опубликовать дополнительные подробности.
Как долго продержится эксперимент с TrickBooster, покажет время. У авторов TrickBot уже был подобный опыт: в конце 2017 года они выпустили в Сеть модификацию трояна, способную собирать данные из Outlook\Profiles, проксировать email-трафик и рассылать рекламный спам.
Истосник: Threatpost
Последнее редактирование: