TrickBoti pahavara operaatorid kasutasid uut meetodit ohvrisüsteemi ekraani eraldusvõime kontrollimiseks, et vältida teadlaste poolt turvatarkvara tuvastamist ja analüüsi.
Eelmisel aastal lisas TrickBoti jõuk oma pahavarale uue funktsiooni, mis katkestaks nakkusahela, kui seade kasutaks ebastandardseid ekraanieraldusvõimeid 800x600 ja 1024x768.
Ohuuurijate tuvastatud uues variandis lisati kinnituskood rämpsposti HTML-manusele, mis edastati potentsiaalsele ohvrile.
laenatud nipp
Teadlased skannivad tavaliselt virtuaalmasinaid pahavara suhtes, millel on teatud veidrused, eriti vaikesätete puhul, nagu tööteenused, masina nimi, võrguadapter, protsessori funktsionaalsus ja ekraani eraldusvõime.
Pahavaraarendajad on neist omadustest teadlikud ja kasutavad ära meetodite rakendamist, mis blokeerivad nakatumisprotsessi virtuaalmasinatena tuvastatud süsteemides.
Eelmisel aastal leitud TrickBoti pahavara näidistes sisaldas käivitatav JavaScripti koodi, mis kontrollis selle süsteemi ekraani eraldusvõimet, milles see töötas.
Hiljuti analüütik - Ohukütt ja Cryptolaemuse turvauuringute rühma liige avastas, et TrickBoti rämpspostikampaania HTML-manus käitus reaalses masinas teisiti kui virtuaalses.
Manus laadis füüsilises süsteemis alla pahatahtliku ZIP-faili, kuid suunati virtuaalses keskkonnas ümber American Broadcasting Company (ABC) veebisaidile.
Kui sihtmärk avab oma veebibrauseris HTML-i, dekrüpteeritakse pahatahtlik skript ja kasulik koormus juurutatakse nende seadmesse.
Manustatud meil oli võltsitud kindlustuse ostuteatis, mille üksikasjad lisati HTML-manusele.
Manuse avamine käivitas HTML-faili vaikeveebibrauseris, kuvades sõnumi, mis palub kannatlikkust dokumendi laadimisel ja annab sellele juurdepääsuks parooli.
Tavakasutaja masinas jätkub nakatumisahel ZIP-faili allalaadimisega, mis sisaldas käivitatavat TrickBoti faili, nagu on näidatud järgmisel pildil, mille postitas TheAnalyst:
Pahavara sellisel viisil allalaadimine on tehnika, mida nimetatakse HTML-i salakaubaveoks. See võimaldab ohutegijal mööduda brauseri sisufiltritest ja tungida sihtarvutisse pahatahtlikesse failidesse, lisades HTML-faili kodeeritud JavaScripti.
Kuigi see näib olevat TrickBoti operaatorite uuendus, pole see trikk uus ja seda on juba nähtud rünnakutes, mis meelitavad ohvreid andmepüügisaitidele.
Turvauurija MalwareHunterTeam leidis selle aasta märtsis andmepüügikomplekti, mis sisaldas koodi süsteemi ekraani eraldusvõime kontrollimiseks.
Teadlane on sellest ajast alates BleepingComputerile öelnud, et on näinud taktikat, mida on erinevates andmepüügikampaaniates mitu korda kasutatud teadlaste vältimiseks.
Skript määrab, kas andmepüügilehele juurdepääsetav kasutaja kasutab virtuaalset või füüsilist masinat, kontrollides, kas veebibrauser kasutab tarkvararenderdajat, nagu SwiftShader, LLVMpipe või VirtualBox, mis üldiselt tähendab virtuaalset keskkonda.
Nagu eespool näha, kontrollib skript ka seda, kas külastaja ekraani värvisügavus on väiksem kui 24 bitti või kas ekraani kõrgus ja laius on alla 100 piksli.
TrickBot ei kasuta sama skripti nagu ülal, vaid tugineb samale taktikale, et tuvastada uurija liivakasti. Sellise skripti kasutamine HTML-i manuses on aga jõugu jaoks uus.
See võib olla ka esimene kord, kui pahavara kasutab ekraani eraldusvõime kontrollimiseks manust, mitte pahavara käivitatava faili pakutava sihtlehe asemel.
Varem kontrollis pahavara ebastandardseid ekraanieraldusvõimeid 800x600 ja 1024x768, mis viitavad virtuaalsele masinale.
Mida sa arvad?
