Анализируя новые сэмплы банковского троянца TrickBot, исследователи из университета Алабамы в Бирмингеме (UAB) обнаружили, что тот не только пытается выполнить свои основные задачи, но также использует их тестовую машину для рассылки и проксирования спама.

После активации испытуемый образец TrickBot запустил несколько процессов svchost.exe — как оказалось, их число может варьироваться от 4 до 7. Назначение этих svchost, как удалось установить, различно: один используется для поиска и получения цифровых сертификатов, другой содержит строки с адресами 127 банковских сервисов — видимо, целей троянца, третий собирает данные из Outlook\Profiles (имя пользователя, пароль, серверы, порты), четвертый просматривает историю веб-серфинга в поисках сохраненных идентификаторов, и т. д.

После предварительного анализа исследователи начали проверять генерируемый зловредом трафик и, к своему удивлению, обнаружили, что их сетевой узел работает как прокси, ретранслируя сообщения, поступающие от почтовых серверов во Флориде и Праге. Одновременно наблюдалась отправка писем, рекламирующих различные медицинские препараты.

Темы исходящих спам-сообщений были разными, как и URL, приведенные в теле этих писем. Как оказалось, все ссылки спамеров указывали на php-редиректы в разных доменах, перенаправляющие на один и тот же сайт в зоне .su — интернет-аптеку, торгующую контрафактными лекарственными средствами.

Входящий email-трафик был более внушительным; на IP-адрес UAB шел поток разных по тематике рекламных сообщений, отправляемых, судя по строке From:, из двух десятков доменов. Среди них мелькали такие известные имена, как Walmart, AOL, Facebook, Twitter и Apple. Использование прокси-серверов — давний спамерский трюк, помогающий скрывать источники рассылок от обнаружения.

Университетские исследователи также убедились, что TrickBot регистрируется на почтовых серверах с помощью краденых учетных данных. Список этих идентификаторов в незашифрованном виде, загруженный на ботнет, был выявлен с помощью анализатора Network Miner.

Новая находка UAB подтверждает выводы других исследователей банкера, появившегося год назад: этот троянец постоянно развивается, совершенствуя свой арсенал и обретая новые функции.

Категории: Аналитика, Вредоносные программы, Спам