Hátat fordított a banki adatoknak a TrickBot vírus

A TrickBot banki trójai valamilyen rejtélyes oknál fogva elfordult a pénzügyi információktól, és inkább a fertőzött számítógépek megbízhatóságának feltérképezésével kezdett foglalkozni.
 

A TrickBot egy régebb óta terjedő kártékony program, amely elsősorban banki adatok eltulajdonítására specializálódott. Csakhogy a banki trójaiak kisebb módosításokkal általában egyéb célú adatlopásra is rávehetők, hiszen már amúgy is tartalmaznak kémkedésre alkalmas összetevőket. Pontosan így gondolták mindezt a TrickBot készítői is, akik ezúttal elfordultak a számukra oly kedves pénzügyi információktól. Feltehetőleg átmenetileg!
 
A trójai legújabb variánsa banki felhasználónevek és jelszavak helyett a Windows megbízhatósági elemzéseivel összefüggő adatokkal látja el a terjesztőit, mivel a a RAC (Reliability Analysis Component) szolgáltatást állította célkeresztbe. A biztonsági kutatók egyelőre nem igazán tudják, hogy mi célt szolgálhat a RAC-előzmények gyűjtése, de valószínűleg célzott támadások későbbi indításához gyűjtögetik ezeket a vírusterjesztők.
 
Alapbeállítások esetén a RAC a háttérben ütemezetten fut. Sok esetben a ProgramData\Microsoft\RAC\ mappába menti le az előzményi adatokat, így nem csoda, hogy a trójai is erre a könyvtárra figyel, és abból menti ki a számára kijelölt állományokat. (A RAC-funkció egyebek mellett a Feladatütemező segítségével tiltható le szükség esetén.)
 
Azért a banki véna megmaradt
 
Az új TrickBot nem teljesen engedte el a banki fonalat. Ennek oka, hogy olyan elektronikus levelek révén terjed, amelyek látszólag a Lloyds Banktól érkeznek. A feladó e-mail címében a lloydsbankdocs.com domain név szerepel. A levél szövege szerint a mellékelt Word dokumentum fontos információkat tartalmaz a címzett számlájával kapcsolatban. Amikor megnyitja azt a felhasználó, akkor a Word a makrók engedélyezését kéri. Ha az engedélyt megadja a címzett, akkor a trójai azonnal letöltődik, és megfertőzi a számítógépet. Érdekesség, hogy a csalók ebbe a dokumentumba a bank logója mellett még egy Symantec logót is elhelyeztek, ezzel is nyomatékosítva, hogy ellenőrzött fájlról van szó. Természetesen a valóságban erről szó sincs, sem a banknak, sem a Symantec-nek nincs köze a dokumentumhoz.


Forrás: MyOnlineSecurity
 
Védekezés
 
A TrickBot esetében is igyekeztek trükközni a vírusírók, de szerencsére mostanra már a legelterjedtebb víruskeresők képesek detektálni az előbbiekben említett, problémás dokumentumot. Ezért a naprakész vírusvédelemnek fontos szerepe van a kockázatok csökkentésében. Mindezek mellett természetesen ezúttal is igaz az, hogy makrókat csak végső esetben, kizárólag megbízható forrásból származó állományok esetén célszerű engedélyezni.
Vélemények
 
  1. 4

    Az Oracle 15 biztonsági hibát szüntetett meg a virtualizációs alkalmazásaiban.

  2. 4

    Az Oracle fontos hibajavításokat tett elérhetővé az E-Business Suite-hoz.

  3. 1

    A Tinimeti trójai egy másik kártékony program közreműködésével kerülhet fel a PC-kre, amelyeken hátsó kaput létesít.

 
Partnerhírek
​Törvény az álhírek és a zaklatás ellen

A brit kormány a közösségi oldalakat működtető vállalatokat vonná felelősségre a platformjaik segítségével terjesztett ártalmas online viselkedéséért és tartalmakért.

​EU-s GDPR vizsgálat indul a Microsoft ellen

Az ellenőrzést a holland kormány vizsgálatának eredményei indították el, mely szerint a redmondi óriás termékei nem GDPR-kompatibilisek.

hirdetés
Közösség
1