뱅킹 트로이 목마 Trickbot는 감염된 시스템의 트래픽을 차단하기위한 모듈을 받았습니다.
엔흐름, 악성 코드는 금융 기관의 웹 사이트와 클라이언트 디바이스 사이에 전송 된 데이터에 자신의 주사를 주입 할 수있다.전문가들은 기회의 확대는 또 다른 은행의 개발자들과 프로그램의 저자의 협력의 결과라고 제안 – IcedID.
보안 전문가 브래드 던컨 에 의해 전달 된 페이로드를 분석하면서 이전에 알려지지 않은 모듈 발견 Ursnif 악성 코드.
전문가는 Trickbot의 업데이트 된 버전을 주입 발견 shadnewDll 감염된 시스템에 동적 라이브러리, 웹 트래픽을 변경하기위한 담당하는. 악성 구성 요소는 자체 구성 파일을 가지고 있으며, MITB 공격을위한 것입니다. 이 모듈은 인터넷 브라우저 크롬에서 작동, 파이어 폭스, Internet Explorer 및 에지.
"감염 체인은 악의적 인 Office Word 문서로 시작, 이는이 Ursnif의 트로이 목마를 다운로드 할 수있는 PowerShell 스크립트를 배포. 이런 식으로 타협 호스트도 차단 및 웹 트래픽을 "수정할 수 BokBot / IcedID 프록시 모듈과 Trickbot 변형을 수신, - 브래드 던컨 말했다.
의 소스 코드와 함께 계시 수많은 우연의 새 모듈의 코드에 관한 연구 BokBot 은행 트로이 목마, 또한 ~으로 알려진 IcedID. 전문가는 악성 코드가 로컬 프록시 서버의 기능을 수행하고 컴퓨터로 전송되는 트래픽에 자신의 스크립트를 삽입 할 수있는 것을 발견. 그러므로, 공격자는 금융 정보 나 자격 증명을 입력 할 피해자의 화면에 가짜 형태를 표시 할 수 있습니다.
지난해는 사업자의 IcedID 및 Trickbot 공동 공격을 수행하기 시작 알려지게되었다, 한 번에 대상 장치에 두 개의 악성 프로그램을 제공. 보안 전문가들은 이러한 협력은 각 프로그램의 장점을 이용하여 사이버 캠페인의 효과를 높이기 위해 설계되었다는 결론을 내렸다.
악성 구성 요소의 수준에서 개발의 통합은 이러한 협력의 새로운 단계를 나타낼 수.
하나, 의 전문가 파이어 아이, 사이버 범죄자의 협력은 이것에 한정되지 않고 있다고 생각.
“TrickBot 관리자 그룹, 동부 유럽을 기반으로 의심되는, 대부분 작업에서 사용하는 사이버 범죄 행위자의 제한된 수의 악성 코드를 제공,” – 파이어 아이의 연구를 언급.
GanbCrab의 최근로서 경험 보여 주었다, 사이버 공간에서 나쁜 놈들을 결합 이러한 모델은 정말 위험하고 효과적 일 수있다.
