Hátat fordított a banki adatoknak a TrickBot vírus

A TrickBot banki trójai valamilyen rejtélyes oknál fogva elfordult a pénzügyi információktól, és inkább a fertőzött számítógépek megbízhatóságának feltérképezésével kezdett foglalkozni.
 
hirdetés

A TrickBot egy régebb óta terjedő kártékony program, amely elsősorban banki adatok eltulajdonítására specializálódott. Csakhogy a banki trójaiak kisebb módosításokkal általában egyéb célú adatlopásra is rávehetők, hiszen már amúgy is tartalmaznak kémkedésre alkalmas összetevőket. Pontosan így gondolták mindezt a TrickBot készítői is, akik ezúttal elfordultak a számukra oly kedves pénzügyi információktól. Feltehetőleg átmenetileg!
 
A trójai legújabb variánsa banki felhasználónevek és jelszavak helyett a Windows megbízhatósági elemzéseivel összefüggő adatokkal látja el a terjesztőit, mivel a a RAC (Reliability Analysis Component) szolgáltatást állította célkeresztbe. A biztonsági kutatók egyelőre nem igazán tudják, hogy mi célt szolgálhat a RAC-előzmények gyűjtése, de valószínűleg célzott támadások későbbi indításához gyűjtögetik ezeket a vírusterjesztők.
 
Alapbeállítások esetén a RAC a háttérben ütemezetten fut. Sok esetben a ProgramData\Microsoft\RAC\ mappába menti le az előzményi adatokat, így nem csoda, hogy a trójai is erre a könyvtárra figyel, és abból menti ki a számára kijelölt állományokat. (A RAC-funkció egyebek mellett a Feladatütemező segítségével tiltható le szükség esetén.)
 
Azért a banki véna megmaradt
 
Az új TrickBot nem teljesen engedte el a banki fonalat. Ennek oka, hogy olyan elektronikus levelek révén terjed, amelyek látszólag a Lloyds Banktól érkeznek. A feladó e-mail címében a lloydsbankdocs.com domain név szerepel. A levél szövege szerint a mellékelt Word dokumentum fontos információkat tartalmaz a címzett számlájával kapcsolatban. Amikor megnyitja azt a felhasználó, akkor a Word a makrók engedélyezését kéri. Ha az engedélyt megadja a címzett, akkor a trójai azonnal letöltődik, és megfertőzi a számítógépet. Érdekesség, hogy a csalók ebbe a dokumentumba a bank logója mellett még egy Symantec logót is elhelyeztek, ezzel is nyomatékosítva, hogy ellenőrzött fájlról van szó. Természetesen a valóságban erről szó sincs, sem a banknak, sem a Symantec-nek nincs köze a dokumentumhoz.


Forrás: MyOnlineSecurity
 
Védekezés
 
A TrickBot esetében is igyekeztek trükközni a vírusírók, de szerencsére mostanra már a legelterjedtebb víruskeresők képesek detektálni az előbbiekben említett, problémás dokumentumot. Ezért a naprakész vírusvédelemnek fontos szerepe van a kockázatok csökkentésében. Mindezek mellett természetesen ezúttal is igaz az, hogy makrókat csak végső esetben, kizárólag megbízható forrásból származó állományok esetén célszerű engedélyezni.
Vélemények
 
  1. 3

    A Linux Kernel legutóbb feltárt sebezhetőségére elérhetővé vált a megfelelő hibajavítás.

  2. 4

    Az Apache SpamAssassin két sebezhetőséget tartalmaz.

  3. 2

    A Trickbot trójai egy meglehetősen komplex felépítésű kémprogram, amely többféle módon képes értékes adatokhoz juttatni a terjesztőit.

 
Partnerhírek
​Pénzt ígért a webes Word dokumentum

Rafinált megoldást találtak a kiberbűnözők arra, hogy a felhasználókat rávegyék az Emotet trójai telepítésére

​Ötvenezer nyomtatót hackeltek meg egy YouTube sztár kedvéért

A YouTube elsőbbségért folyó virtuális harc nemrég rémisztő hackertámadásban öltött testet: az egyik kiberbűnöző 50 ezer nyomtatót használt arra, hogy kedvenc sztárjának szerezzen plusz feliratkozókat.

hirdetés
Közösség
1