Bleeping Computer сообщает, что исследователи из Webroot обнаружили версию банковского трояна TrickBot с новым компонентом, предназначенным для блокировки доступа к системе с целью получения выкупа. Анализ показал, что этот модуль пока находится в стадии разработки.

Появившийся полтора года назад банкер TrickBot до сих пор активно развивается, поэтому новая находка экспертов особо не удивила. Распространяется этот Windows-зловред обычно с помощью эксплойт-пака RIG или через спам-рассылки, новейшие из которых, кстати, были зафиксированы на прошлой неделе.

Следует также отметить, что в отличие от прочих банковских троянов TrickBot не хранит внедряемый код в конфигурационном файле и реализует свои функции через модули, загружаемые в ходе обмена с центром управления. Так, минувшим летом этот троян обрел способность к самораспространению по сети путем использования нового компонента wormDll32.dll, который позволяет атаковать системы с непропатченной уязвимостью в протоколе SMB. А в конце октября, к немалому удивлению специалистов по ИБ, TrickBot в дополнение к основному функционалу начал рассылать спам.

Новейшая версия банкера была обнаружена 15 марта. Как оказалось, помимо привычных веб-инжектов и wormDll32.dll, обновленный зловред загружает также дроппер tabDll32.dll или tabDll64.dll. В результате на зараженной машине оказываются три файла: spreader_x86.dll, ssExecutor_x86.exe и screenLocker_x86.dll.

Первый пытается обеспечить перенос вредоносного кода на другие машины в сети, применяя эксплойт EternalRomance к уязвимости в SMB (которую Microsoft устранила год назад). Второй компонент используется вместе со spreader_x86.dll и активируется после первичного заражения; он отвечает за внесение изменений в системный реестр для обеспечения запуска вредоносного кода с каждым стартом системы. Примечательно, что загруженный wormDll32.dll при этом игнорируется.

Третий компонент пускается в ход после первых двух; как оказалось, эта функциональность пока слишком сыра и не используется. Как и другие модули TrickBot, screenLocker_x86.dll написан на Delphi; его назначением, по словам экспертов, является блокировка экрана. По всей видимости, авторы обновленного зловреда решили подзаработать вымогательством в тех случаях, когда жертва не использует онлайн-банкинг. Если зараженный компьютер работает в корпоративной сети, такое предположение вполне оправданно.

«Пользователи корпоративных сетей не имеют привычки регулярно посещать атакуемые зловредом банки, поэтому кража банковских идентификаторов здесь менее эффективна, чем потенциальная блокировка сотен машин», — цитирует Bleeping Computer Джейсона Дэвисона (Jason Davison), специалиста Webrootпо анализу высокотехнологичных угроз.

Функциональности, позволяющей шифровать файлы, в новой версии TrickBot не обнаружено, однако это не значит, что она не появится в будущем.

Вымогательство посредством блокировки рабочего стола было очень популярным в криминальной среде лет пять назад. Подобные вредоносные программы не шифруют файлы, а лишь выводят требование выкупа во весь экран, притом зачастую используют имя органа правопорядка, обвиняя жертву в просмотре запрещенного контента. Из-за этого подобные блокировщики даже получили прозвище «вирус-полицейский». Ярким представителем этой разновидности вымогателей является Reveton.

Категории: Аналитика, Вредоносные программы