Эксперты: Троян TrickBot распространяется как сетевой червь

Эксперты сообщили, что вирус-троян TrickBot распространяется также, как сетевые «черви». Исследователи из Flashpoint обнаружили версию банковского кибервируса, получившую достаточно известный модуль, отвечающий за его перенос на новые устройства и электронные системы. Зловредное ПО, созданное в прошлом году группой Dyre, способно распространяться локально при помощи протокола Server Message Block.



К концу минувшего года троян расширил зону деятельность в Азии, а текущий год отметился рядом атак на частные банки и системы CRM. TrickBot активно распространялся при помощи спама, имитируя счета-фактуры от крупного интернационального финучреждения. Образцы, которые принимали участие в данной кампании получили возможности сетевого «червя», что позволяет ему сканировать домены и получать списков серверов благодаря NetServerEnum в рамках Windows API, считать число иных ПК по LDAP.
Эксперты отмечают, что новые функции пока реализованы не в полном объеме, а предположительный SMB-эксплойт пока не заметили. При этом вредоносное ПО использует функции «netscan». Соответственно, она может определить серверы конкретного типа. Модуль Trickbot включает строки, наводящие на мысль о возможности использования протокола «pysmb» для аутентификации в ОС от Microsoft.
, - отмечается в сообщении Flashpoint.



Исследователи посчитали, что TrickBot будет расти, как и банковский троян, нацеливаясь на финструктуры во всем мире.