Вредоносный арсенал трояна Trickbot пополнился модулем для кражи учетных данных систем удаленного доступа. Об этом рассказали специалисты компании Trend Micro, изучившие новую версию банкера. Теперь программа ворует не только сведения о кредитных картах и криптокошельках, но и логины и пароли клиентов RDP, VNC и PuTTY.

Trickbot распространяется через электронное письмо с фальшивым сообщением о налоговых льготах от одной из финансовых организаций. К посланию приложен файл Excel с макросом, загружающим зловред. Как выяснили исследователи, полезная нагрузка идентична последней версии банкера, обнаруженной в ноябре прошлого года, но содержит новый компонент для взлома систем удаленного доступа.

Эксперты пояснили, что учетные данные VNC зловред извлекает из файлов с цепочкой символов .vnc.lnk в названии. Троян ищет такие файлы в папках «Документы» и «Загрузки» Windows, а также в каталоге с недавними документами. Логины и пароли для доступа к PuTTY троян получает через анализ записей реестра, содержащих сведения о сохраненных сессиях этого клиента, а RDP взламывает через API-интерфейс CredEnumerateA. Аналитики указывают, что собранную информацию Trickbot передает на командный сервер киберпреступников, используя POST-запрос протокола HTTP.

Банкер обзавелся функцией кражи учетных данных в марте прошлого года. Тогда специалисты обратили внимание на возможность блокировки экрана, предназначенную, как они предполагали, для требования выкупа у владельца зараженного компьютера. Позже выяснилось, что она была нужна для получения доступа к идентификационным сведениям Windows через протокол WDigest.

Ранее зловред уже научился добывать для злоумышленников пароли из браузеров, данные авторизации Windows и информацию для доступа к другим приложениям. В ноябре 2018-го авторы Trickbot добавили в состав зловреда модуль pwgrab32. Новый компонент умел копировать сведения для авторизации в Outlook, а также FTP-клиентах Filezilla и WinSCP. Кроме того, скрипт взламывал браузеры Chrome, Firefox, Internet Explorer и Edge, охотясь за сохраненными учетными данными, историей посещений и файлами куки.

Категории: Вредоносные программы