 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
26 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Новая версия банкера пополнилась модулем для кражи учетных данных систем удаленного доступа.
Вредоносный арсенал трояна Trickbot пополнился модулем для кражи учетных данных систем удаленного доступа. Об этом рассказали специалисты компании Trend Micro, изучившие новую версию банкера. Теперь программа ворует не только сведения о кредитных картах и криптокошельках, но и логины и пароли клиентов RDP, VNC и PuTTY.
Trickbot распространяется через электронное письмо с фальшивым сообщением о налоговых льготах от одной из финансовых организаций. К посланию приложен файл Excel с макросом, загружающим зловред. Как выяснили исследователи, полезная нагрузка идентична последней версии банкера, обнаруженной в ноябре прошлого года, но содержит новый компонент для взлома систем удаленного доступа.
Эксперты пояснили, что учетные данные VNC зловред извлекает из файлов с цепочкой символов .vnc.lnk в названии. Троян ищет такие файлы в папках «Документы» и «Загрузки» Windows, а также в каталоге с недавними документами. Логины и пароли для доступа к PuTTY троян получает через анализ записей реестра, содержащих сведения о сохраненных сессиях этого клиента, а RDP взламывает через API-интерфейс CredEnumerateA. Аналитики указывают, что собранную информацию Trickbot передает на командный сервер киберпреступников, используя POST-запрос протокола HTTP.
Банкер обзавелся функцией кражи учетных данных в марте прошлого года. Тогда специалисты обратили внимание на возможность блокировки экрана, предназначенную, как они предполагали, для требования выкупа у владельца зараженного компьютера. Позже выяснилось, что она была нужна для получения доступа к идентификационным сведениям Windows через протокол WDigest.
Ранее зловред уже научился добывать для злоумышленников пароли из браузеров, данные авторизации Windows и информацию для доступа к другим приложениям. В ноябре 2018-го авторы Trickbot добавили в состав зловреда модуль pwgrab32. Новый компонент умел копировать сведения для авторизации в Outlook, а также FTP-клиентах Filezilla и WinSCP. Кроме того, скрипт взламывал браузеры Chrome, Firefox, Internet Explorer и Edge, охотясь за сохраненными учетными данными, историей посещений и файлами куки.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
