انتشار کرونایی Trickbot

به گزارش تماس نیوز و به نقل از معاونت بررسی مرکز افتا، شرکت Microsoft اعلام کرده است این شرکت تنها ظرف کمتر از یک هفته، چندصد پیوست منحصربه‌فرد حاوی ماکروی ناقل TrickBot را شناسایی کرده که در آنها وانمود می‌شود که سند از سوی یک سازمان غیرانتفاعی برای تست رایگان کرونا ارسال شده است.
مدتهاست که ماکروهای ناقل TrickBot تعمداً با تأخیر کد مخرب را دریافت می‌کنند تا از این طریق بسترهای سندباکس تحلیلگر و شبیه‌ساز را که معمولاً توسط محصولات امنیتی و مهندسان ویروس به‌کار گرفته می‌شوند را ناکام بگذارند.

حدود یک هفته قبل نیز Microsoft اعلام کرد که از ۷۶ تهدید شناسایی شده توسط این شرکت که در آنها از موضوعات مرتبط با کرونا برای فریب کاربران سوءاستفاده شده TrickBot در صدر فعال‌ترین آنها قرار گرفته است.
از بین میلیون‌ها پیام هدفمند، حدود ۶۰ هزار پیام حاوی پیوست یا نشانی مخرب با موضوعاتی در ظاهر مرتبط با کرونا بوده است.
تنها در یک روز قابلیت ضدفیشینگ Microsoft معروف به SmartScreen بیش از ۱۸ هزار نشانی URL و IP با الگوی کرونایی را شناسایی کرده است.
در اکتبر ۲۰۱۶، تروجان TrickBot به‌عنوان یک بدافزار بانکی مبتنی بر ماژول پا به عرصه تهدیدات سایبری گذاشت. این بدافزار همواره توسط نویسندگان آن در حال ارتقا بوده و به‌طور مستمر ماژول‌ها و قابلیت‌های جدیدی به آن اضافه شده است.
برای مثال، در اواخر ماه مارس، فعالیت گردانندگان TrickBot به دلیل استفاده آنها از یک برنامه مخرب Android برای عبور از سد سیستم‌های حفاظتی مبتنی بر اصالت‌سنجی دو مرحله‌ای چندین بانک در حالی که پیش از آن اطلاعات موسوم به Transaction Authentication Number را سرقت کرده بودند خبرساز شد.
همچنین از ابتدای ژانویه، TrickBot مجهز به سازوکاری جدید برای بی‌اثر ساختن بخش User Account Control – به اختصار UAC – شد که این بدافزار را قادر به اجرای فایل مخرب خود با سطح دسترسی ارتقا یافته بدون نمایش هشدار UAC می‌کرد.
یا در نمونه‌ای دیگر گردانندگان TrickBot برای بهره‌گیری از ترس عمومی ناشی از شیوع ویروس کرونا در یک کارزار هرزنامه‌ای اقدام به ارسال ایمیل‌هایی با پیوست مخرب به کاربران ایتالیایی کردند. در این ایمیل‌ها تظاهر می‌شد که ارسال‌کننده یکی از پزشکان سازمان بهداشت جهانی در ایتالیا بوده و پیوست نیز حاوی اطلاعاتی در خصوص راهکارهای پیشگیرانه برای مقابله با کروناست.

در فوریه نیز TrickBot و Emotet هر دو با استفاده از متن‌هایی برگرفته شده از اخبار واقعی کرونا تلاش کردند تا از سد کنترل‌های امنیتی مبتنی بر یادگیری ماشین و هوش منصوعی عبور کنند.
چند روز پیش نیز Google اعلام کرد پویشگرهای بکار گرفته شده در Gmail تنها طی یک هفته هیجده میلیون ایمیل فیشینگ و ناقل بدافزار مبتنی بر الگوی کرونا را مسدود کرده است.
TrickBot اگر چه در ابتدا تنها برای استخراج و سرقت داده‌های حساس از روی سیستم قربانی مورد استفاده مهاجمان قرار می‌گرفت اما اکنون به یک ابزار پرآوازه برای آلوده کردن دستگاه به بدافزارهای گاهاً به مراتب خطرناک‌تر تکامل یافته است.
TrickBot، خود معمولاً به واسطه Emotet بر روی دستگاه قربانیان نصب شده و عمدتاً در جریان حملات چندمرحله‌ای برای دانلود و اجرای بدافزارهای مخربی که یکی از معروف‌ترین آنها باج‌افزار Ryuk است مورد استفاده می‌گیرد.

در اکثر مواقع، این تفویض اختیار به بدافزار دوم پس از آن اتفاق می‌افتد که تمامی داده‌های بالقوه مفید همچون اطلاعات سیستم، اطلاعات اصالت‌سنجی، فایل‌های مورد نظر مهاجمان توسط TrickBot سرقت شده است.
TrickBot به دلیل توانایی آن در انتشار گسترده خود در بستر شبکه‌ها به‌خصوص در صورت موفقیت آن در دسترسی یافتن به سرورهای Domain Controller و سرقت اطلاعات اصالت‌سنجی Active Directory تهدیدی جدی بر ضد سازمان‌ها تلقی می‌شود.