Trickbot یک بدافزار مدولار است که برای اولین بار در سال 2016 مشاهده شد و اطلاعات سیستم ، اطلاعات ورود به سیستم و دیگر داده های حساس را از دستگاه های آسیب پذیر ویندوز سرقت می کند.
با این حال ، در ماه نوامبر ، محققان امنیتی شبکه های Palo Alto شروع به دیدن شاخص هایی کردند که ماژول گرفتن رمزعبور Trickbots برای هدف قرار دادن داده ها از برنامه های OpenSSH و OpenVPN شروع شده است.
هنگامی که یک میزبان ویندوز به Trickbot آلوده می شود ، برای انجام کارکردهای مختلف ماژول های مختلف را بارگیری می کند. این ماژول ها به صورت باینری رمزگذاری شده در یک پوشه واقع در دایرکتوری AppData Roaming سیستم آلوده ذخیره می شوند و سپس به عنوان پرونده های DLL که از حافظه سیستم کار می کنند رمزگشایی می شوند.
Pwgrab64 یک دستگیره رمز عبور است که توسط Trickbot استفاده می شود و این ماژول بازیابی می شود. اطلاعات موجود در حافظه پنهان مرورگر یک قربانی ، اما می تواند اعتبار ورود به سیستم را از دیگر برنامه های نصب شده روی میزبان قربانی بدست آورد.
هدف قرار دادن OpenSSH و OpenVPN
الگوهای ترافیک از عفونت های اخیر Trickbot تا نوامبر هنگامی که شبکه های Palo Alto شروع به مشاهده کردند ، نسبتاً سازگار بودند. دو درخواست HTTP POST جدید برای کلیدهای خصوصی OpenSSH و رمزهای عبور OpenVPN و پیکربندی های ناشی از گیرنده رمز عبور بدافزار.
خوشبختانه این به روزرسانی ها در ماژول گیربکس رمز عبور Trickbot ممکن است کاملاً کاربردی نباشد ، زیرا محققان هیچ داده واقعی را از مشاهده نکردند. ] OpenVPN موجود در ترافیک ناشی از بدافزار. آنها همچنین آلودگی های Trickbot را در محیط های آزمایشگاهی تنظیم کردند که درخواست های HTTP POST ایجاد شده توسط گیرنده رمز عبور برای OpenSSH و OpenVPN فاقد اطلاعات بود.
با این وجود ، گیرنده رمز عبور Trickbot در واقع کار می کند و هنوز رمزهای SSH و کلیدهای خصوصی را از SSH بدست می آورند. مشتری Telnet به نام PuTTY.
الگوهای ترافیکی به روز شده کشف شده توسط شبکه های Palo Alto نشان می دهد که Trickbot به تکامل خود ادامه می دهد اما کاربران می توانند با اجرای نسخه های کاملاً اصلاح شده و به روز مایکروسافت ویندوز از قربانی شدن این بدافزار جلوگیری کنند. [19659010] همچنین لیست کاملی از بهترین خدمات VPN را ببینید
