14/07/21
Исследователи кибербезопасности компании Bitdefender приоткрыли завесу над продолжающимся возрождением вредоносного ПО TrickBot, дав понять, что стоящие за ним киберпреступники постоянно работают над улучшением своей инфраструктуры.
«Обнаруженные новые возможности используются для мониторинга и сбора информации жертв с помощью кастомного протокола связи для сокрытия передачи данных между [C&C] серверами и жертвами, что затрудняет обнаружение атак», - сообщили исследователи.
По словам специалистов, несмотря на попытки Microsoft и Киберкомандования США отключить инфраструктуру ботнета TrickBot, нет никаких признаков того, что вредонос скоро исчезнет. Наоборот, его операторы и продолжают совершенствовать программу. К примеру, вредонос получил новые компоненты, позволяющие хакерам внедрять бэкдоры в Unified Extensible Firmware Interface (UEFI), избегать обнаружения антивирусными решениями, получать обновления и даже удалять и переустанавливать операционную систему.
Согласно Bitdefender, в настоящее время злоумышленники активно разрабатывают обновленную версию модуля под названием «vncDll», использующуюся в атаках TrickBot на избранные цели для мониторинга и сбора разведданных.
Новый модуль предназначен для связи с одним из девяти C&C-серверов, указанным в его конфигурационном файле. Вредонос получает с этого C&C-сервера набор команд, загружает дополнительное вредоносное ПО и передает на него собранные со взломанной машины данные.
