Lale Çorumlu

Kötü şöhretli TrickBot kötü amaçlı yazılımı, operatörleri botnet'i yeni anti-analiz özellikleriyle güncellemiş olsa bile, başta ABD'de yerleşik kripto para birimi firmaları da dahil olmak üzere 60 finans ve teknoloji şirketinin müşterilerini hedefliyor.

Check Point araştırmacıları Aliaksandr Trafimchuk ve Raman Ladutska bugün yayınlanan bir raporda, "TrickBot, talep üzerine indirilebilen ve çalıştırılabilen 20'den fazla modüle sahip sofistike ve çok yönlü bir kötü amaçlı yazılımdır." dedi.

Hem yaygın hem de kalıcı olmanın yanı sıra, TrickBot, güvenlik ve algılama katmanlarını aşmak için taktiklerini sürekli olarak geliştirdi. Bu amaçla, kötü amaçlı yazılımın bankacılık ve kimlik bilgilerinin çalınmasından sorumlu olan "injectDll" web-injects modülü, web sayfasını çökertmek ve kaynak kodunu inceleme girişimlerini engellemek için gizlemeyi önleme tekniklerinden yararlanır.

Ayrıca, güvenlik araştırmacılarının yeni web enjeksiyonlarını almak için komut ve kontrol (C2) sunucularına otomatik istekler göndermesini önlemek için anti-analiz korkulukları da yerleştirildi.

TrickBot'un önemli güçlü yönlerinden bir diğeri, kullanıcıların kimlik bilgilerini çalmak ve kötü amaçlı yazılımı EternalRomance istismarını kullanarak SMBv1 ağ paylaşımı yoluyla yaymak için "tabDLL" modülünü kullanarak elde ettiği kendini yayma yeteneğidir.

TrickBot enfeksiyonlarının bir parçası olarak dağıtılan üçüncü önemli modül, web tarayıcılarından ve Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN ve TeamViewer gibi bir dizi başka uygulamadan şifreleri sifonlamak için tasarlanmış bir kimlik bilgisi hırsızı olan "pwgrabc" dir.

Araştırmacılar, "TrickBot, kimlik bilgilerini çalmak için yüksek profilli kurbanlara saldırır ve operatörlerine, daha büyük hasara neden olabilecekleri hassas veriler içeren portallara erişim sağlar," dedi ve "altyapının arkasındaki operatörler, yüksek düzeyde kötü amaçlı yazılım geliştirme konusunda çok deneyimlidir" dedi."

Bulgular ayrıca, TrickBot çetesinin, imza tabanlı algılamadan kaçınma nihai hedefiyle kodlarını gizlemek ve tersine mühendisliğe karşı koruma sağlamak için Bazar kötü amaçlı yazılım ailesi için metaprogramlama yöntemleri kullandığı açıklandığında ortaya çıktı.