Рекомендуем почитать:
Эксперты компании Trend Micro нашли новую версию банковского трояна TrickBot (он же Trickster, TheTrick и TrickLoader), чей арсенал стал еще богаче.
Напомню, что данная малварь «знакома» экспертам уже давно и постоянно развивается. Так, в марте прошлого года вредонос приобрел функциональность локера и научился весьма эффективно избегать обнаружения. В конце 2018 года авторы малвари расширили арсенал TrickBot модулем PasswordGrabber, предназначенным для хищения паролей с зараженных машин. А затем малварь стала воровать даже информацию об истории проблем в Windows.
Теперь исследователи рассказывают, что арсенал TrickBot в очередной раз пополнился новой функциональностью. Новая версия трояна распространяется через вредоносные вложения в спамерских письмах и комплектуется тремя новыми инструментами для кражи паролей: атакует Virtual Network Computing (VNC), PuTTY, а также Remote Desktop Protocol (RDP).
Для кражи учетные данных VNC троян ищет файлы, в чьих именах содержится «.vnc.lnk». Поиск производится в %APPDATA%MicrosoftWindowsRecent и %USERPROFILE%Documents, %USERPROFILE%Downloads.
Для хищения паролей от PuTTY и RDP малварь изучает ключ реестра SoftwareSimonTathamPuttySessions и задействует CredEnumerateA API и target=TERMSRV для идентификации хоста, юзернейма и пароля для RDP, а затем крадет учетные данные.
Украденную таким образом информацию малварь передает своим операторам, используя POST-команды и конфигурационный файл dpost, загружаемый с C&C-сервера.
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|