Эксперты: Троян TrickBot распространяется как сетевой червь
К концу минувшего года троян расширил зону деятельность в Азии, а текущий год отметился рядом атак на частные банки и системы CRM. TrickBot активно распространялся при помощи спама, имитируя счета-фактуры от крупного интернационального финучреждения. Образцы, которые принимали участие в данной кампании получили возможности сетевого «червя», что позволяет ему сканировать домены и получать списков серверов благодаря NetServerEnum в рамках Windows API, считать число иных ПК по LDAP.
Эксперты отмечают, что новые функции пока реализованы не в полном объеме, а предположительный SMB-эксплойт пока не заметили. При этом вредоносное ПО использует функции «netscan». Соответственно, она может определить серверы конкретного типа. Модуль Trickbot включает строки, наводящие на мысль о возможности использования протокола «pysmb» для аутентификации в ОС от Microsoft.
«У этого вируса отсутствует логика в сканировании внешних IP-адресов и SMB-подключениях, как это имело место с “червями”, распространявшими WannaCry в мае 2017-го»
Исследователи посчитали, что TrickBot будет расти, как и банковский троян, нацеливаясь на финструктуры во всем мире.
Обсудим?
Смотрите также: