بدافزار Trickbot به روز شده کلیدهای OpenSSH و OpenVPN را سرقت می کند

محققان امنیتی شکل جدیدی از بدافزار Trickbot را پیدا کرده اند که برای سرقت کلیدهای خصوصی OpenSSH و گذرواژهای OpenVPN و پیکربندی داده ها تغییر یافته است.

این بدافزار برای اولین بار در اکتبر سال 2016 مشاهده شد و همه در حالی که جدید اضافه شده است ، ویژگی های خطرناک تر به گفته محققان در Palo Alto Networks ، یکی از ماژول های Trickbot یک گیرنده رمز عبور است. این کد اطلاعات ورود به سیستم را از دیگر برنامه های نصب شده روی میزبان یک قربانی دریافت می کند. سپس اطلاعات سرقت شده با استفاده از HTTP رمزگذاری نشده از طریق پورت TCP 8082 به آدرس IP استفاده شده توسط Trickbot ارسال می کند.

آخرین بروزرسانی منجر به این شد که محققان دو درخواست HTTP POST جدید ناشی از گیرنده رمز عبور را مشاهده کنند.

محققان افزودند که این به روزرسانی ها ممکن است کاملاً کاربردی نباشند.

"درخواست HTTP POST ناشی از گرفتن رمز عبور برای OpenSSH و OpenVPN رخ می دهد که میزبان قربانی باشد یا خیر. محققان گفتند:

ما عفونت های Trickbot را در محیط های آزمایشگاهی برای میزبان های ویندوز 7 و ویندوز 10 با برنامه های پیکربندی OpenSSH و OpenVPN ایجاد کردیم. ما هیچ نتیجه ای از کار ندیده ایم. "

آنها افزودند که درخواست های HTTP POST ایجاد شده توسط گیرنده گذرواژه OpenSSH و OpenVPN در طول این عفونت ها حاوی اطلاعاتی نبود.

اگرچه به نظر نمی رسد که این به روزرسانی ها کار کنند ، گیرنده رمز عبور Trickbot داده های حساس مانند کلیدهای خصوصی را از برنامه های مرتبط با SSH مانند PuTTY دریافت خواهید کرد. محققان به سازمانها توصیه كردند كه ویندوز را برای جلوگیری از ابتلا به عفونت متصل كنند.

کوین بوچه ، رئیس استراتژی امنیتی و اطلاعات تهدید آمیز در ونفی ، به SC Media UK گفت: این یافته ها نشان می دهد که هکرها در حال جواهر پنهان هستند: این واقعیت که هویت دستگاه SSH به آنها می دهد کنترل اطلاعات حساس در تجارت را انجام می دهند.

"کسانی که از جدیدترین نرم افزارهای مخرب Trickbot می دانند ، در حالی که تیم های امنیتی میلیاردها میلیارد دلار در زمینه محافظت و مدیریت رمز عبور صرف کرده اند ، در مورد کلیدهای SSH و خطرات آنها آگاهی کمی دارند. کلیدهای SSH به طور خودکار و کنترل سیستمهای دیتاسنتر و ابر سرقت می کنند. آنها می توانند هکرها را کنترل کنند و به آنها قدرت ایجاد درهای طولانی مدت را می دهد ، زیرا کلیدهای SSH منقضی نمی شوند و بیشتر سازمانها – حتی افراد دارای دفاع پیشرفته – هرگز آنها را تغییر نمی دهند. "

جواد مالک ، مدافع آگاهی در KnowBe4 ، به SC Media UK گفت: بسیاری از مجرمان سازمان یافته و کشورهای عضو تلاش های زیادی را در بدافزار خود انجام داده اند.

"بخش اعظم آن به صورت سفارشی توسعه یافته است و ما بسیاری از موارد را دیدیم که برای مدت زمان طولانی تری با عملکرد اضافی که اغلب با Trickbot اضافه می شود ، حفظ می شوند."

"بهترین کاری که سازمان ها می توانند انجام دهند. برای محافظت در برابر چنین بدافزارها ، محافظت در برابر ورود آنها به شركت در وهله اول است ، این امر معمولاً از طریق وصله كردن سیستمهای روبرو عمومی ، آموزش كاربران برای شناسایی و عدم قربانی شدن حملات spearphishing و اطمینان از MFA و رمزهای عبور قدرتمند است. زیرا وقتی یک سازش اتفاق می افتد ، سازمان ها باید کنترل های شناسایی تهدید را در خود داشته باشند که بتوانند فعالیت مشکوک را شناسایی و هشدار دهند. "