Oί hackers behind TrickBot cybercrime have released the XNUMXth version of the malware, with additional features to evade detection.
Το TrickBot εγκαθίσταται συνήθως μέσω κακόβουλων μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing) ή άλλου κακόβουλου λογισμικού. Όταν εγκατασταθεί, το TrickBot θα τρέξει αθόρυβα στον υπολογιστή του θύματος, ενώ ταυτόχρονα πραγματοποιεί λήψη other modules to perform different tasks.
Αυτές οι λειτουργικές μονάδες εκτελούν ένα ευρύ φάσμα κακόβουλης δραστηριότητας, συμπεριλαμβανομένης της κλοπής της βάσης δεδομένων Active Directory Services ενός τομέα , της εξάπλωσης τους σε ένα δίκτυο, του κλειδώματος οθόνης, της κλοπής των cookie και των κωδικών πρόσβασης του προγράμματος περιήγησης και της κλοπής κλειδιών OpenSSH .
TrickBot is known to complete an attack by giving access to the hackers behind ransomware Ryuk and Conti to make matters worse.
New features added to TrickBot v100
Since the Microsoft and its partners launched a coordinated attack against TrickBot's infrastructure last month, hoping the hackers would take some time to recover.
Unfortunately, the TrickBot gang is still active, as evidenced by the release of the XNUMXth version of its malware.
This latest version was discovered by Vitali Kremez of Advanced Intel, who found that they added new features to make it more difficult to detect.
Με αυτήν την έκδοση, το TrickBot εισάγει τώρα το δικό του dll στο νόμιμο εκτελέσιμο αρχείο των Windows wermgr.exe (Αναφορά προβλημάτων των Windows), απευθείας από τη μνήμη χρησιμοποιώντας κώδικα από το έργο "MemoryModule".
"Το MemoryModule είναι μια βιβλιοθήκη που μπορεί να χρησιμοποιηθεί για την πλήρη φόρτωση ενός DLL από τη μνήμη - χωρίς να αποθηκεύεται πρώτα στο δίσκο", εξηγεί η σελίδα of the MemoryModule project on GitHub.
Initially start as an executable file, TrickBot will be inserted into wermgr.exe and then terminate the original TrickBot executable.
Σύμφωνα με τον Kremez, κατά την "ένεση" του DLL, θα το κάνει χρησιμοποιώντας το Doppel Hollowing ή θα edit doppelganging , to avoid her detection by security software.
Unfortunately, this means that TrickBot is here to stay in the near future and consumers and businesses need to stay alert and be smart with the email attachments that open.
