WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
WannaCry khiến Banking Trojan có khả năng lây lan rộng
Dù làn sóng ransomeware WannaCry và Petya đã hạ nhiệt, các hacker và tội phạm mạng đã kịp rút ra bài học để mã độc mạnh hơn.
Các nhà nghiên cứu an ninh đã phát hiện ra ít nhất một nhóm tội phạm mạng đang cố gắng trang bị cho banking Trojan của mình khả năng tự lây lan giống worm. Đây cũng chính là tính năng giúp các ransomware lây lan nhanh ra toàn thế giới trong các vụ tấn công nổi tiếng gần đây.
Phiên bản mới của TrickBot, với tên "1000029" (v24) dùng Windows Server Message Block (SMB).
TrickBot là một malware banking Trojan nhắm mục tiêu vào các tổ chức ngân hàng trên toàn thế giới kể từ năm ngoái.
Trojan phần lớn lây lan qua các file đính kèm mạo danh hoá đơn từ các tổ chức tài chính quốc tế vô danh, nhưng thực chất dẫn các nạn nhân đến một trang đăng nhập giả mạo dùng để đánh cắp thông tin đăng nhập.
Các nhà nghiên cứu tại Flashpoint, những người đã liên tục lần theo dấu vết hoạt động của TrickBot và các mục tiêu của mã độc này, phát hiện ra TrickBot Trojan mới được trang bị thêm khả năng lây lan cục bộ trong các mạng thông qua Server Message Block (SMB).
Vì phiên bản mới của TrickBot vẫn đang được thử nghiệm, các tính năng mới chưa được phát triển hoàn thiện. Phiên bản này cũng không có khả năng quét ngẫu nhiên các IP bên ngoài để tìm kiếm kết nối SMB.
Các nhà nghiên cứu Flashpoint cho biết Trojan đã được sửa đổi để quét các tên miền nhằm tìm ra các server dính lỗ hổng thông qua NetServerEnum Windows API, đồng thời thống kê các máy tính khác trong mạng thông qua Lightweight Directory Access Protocol (LDAP).
Biến thể TrickBot mới cũng có thể được nguỵ trang giống 'setup.exe' và phát tán thông qua một PowerShell script và tải phiên bản bổ sung của TrickBot lên trên các ổ đĩa được chia sẻ.
Để ngăn chặn việc lây nhiễm malware, người dùng phải luôn nghi ngờ những file và tài liệu được gửi qua email và không bao giờ click vào những đường link bên trong trừ khi xác định rõ nguồn gốc.
Lưu trữ những dữ liệu có giá trị ở ổ cứng ngoài không kết nối đến máy tính, đồng thời, chắc chắn rằng người dùng đang chạy một phần mềm diệt virus phù hợp với hệ thống của mình và được cập nhật thường xuyên.
Phiên bản mới của TrickBot, với tên "1000029" (v24) dùng Windows Server Message Block (SMB).
TrickBot là một malware banking Trojan nhắm mục tiêu vào các tổ chức ngân hàng trên toàn thế giới kể từ năm ngoái.
Trojan phần lớn lây lan qua các file đính kèm mạo danh hoá đơn từ các tổ chức tài chính quốc tế vô danh, nhưng thực chất dẫn các nạn nhân đến một trang đăng nhập giả mạo dùng để đánh cắp thông tin đăng nhập.
Các nhà nghiên cứu tại Flashpoint, những người đã liên tục lần theo dấu vết hoạt động của TrickBot và các mục tiêu của mã độc này, phát hiện ra TrickBot Trojan mới được trang bị thêm khả năng lây lan cục bộ trong các mạng thông qua Server Message Block (SMB).
Vì phiên bản mới của TrickBot vẫn đang được thử nghiệm, các tính năng mới chưa được phát triển hoàn thiện. Phiên bản này cũng không có khả năng quét ngẫu nhiên các IP bên ngoài để tìm kiếm kết nối SMB.
Các nhà nghiên cứu Flashpoint cho biết Trojan đã được sửa đổi để quét các tên miền nhằm tìm ra các server dính lỗ hổng thông qua NetServerEnum Windows API, đồng thời thống kê các máy tính khác trong mạng thông qua Lightweight Directory Access Protocol (LDAP).
Biến thể TrickBot mới cũng có thể được nguỵ trang giống 'setup.exe' và phát tán thông qua một PowerShell script và tải phiên bản bổ sung của TrickBot lên trên các ổ đĩa được chia sẻ.
Để ngăn chặn việc lây nhiễm malware, người dùng phải luôn nghi ngờ những file và tài liệu được gửi qua email và không bao giờ click vào những đường link bên trong trừ khi xác định rõ nguồn gốc.
Lưu trữ những dữ liệu có giá trị ở ổ cứng ngoài không kết nối đến máy tính, đồng thời, chắc chắn rằng người dùng đang chạy một phần mềm diệt virus phù hợp với hệ thống của mình và được cập nhật thường xuyên.
Theo Hackernews