______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Trickbot охотится за паролями для клиентов RDP, VNC и PuTTY

Вредоносный арсенал трояна Trickbot пополнился модулем для кражи учетных данных систем удаленного доступа. Об этом рассказали специалисты компании Trend Micro, изучившие новую версию банкера. Теперь программа ворует не только сведения о кредитных картах и криптокошельках, но и логины и пароли клиентов RDP, VNC и PuTTY.

Trickbot распространяется через электронное письмо с фальшивым сообщением о налоговых льготах от одной из финансовых организаций. К посланию приложен файл Excel с макросом, загружающим зловред. Как выяснили исследователи, полезная нагрузка идентична последней версии банкера, обнаруженной в ноябре прошлого года, но содержит новый компонент для взлома систем удаленного доступа.

Эксперты пояснили, что учетные данные VNC зловред извлекает из файлов с цепочкой символов .vnc.lnk в названии. Троян ищет такие файлы в папках «Документы» и «Загрузки» Windows, а также в каталоге с недавними документами. Логины и пароли для доступа к PuTTY троян получает через анализ записей реестра, содержащих сведения о сохраненных сессиях этого клиента, а RDP взламывает через API-интерфейс CredEnumerateA. Аналитики указывают, что собранную информацию Trickbot передает своим операторам, используя POST-команды и конфигурационный файл dpost, загружаемый с C&C-сервера.

Банкер обзавелся функцией кражи учетных данных в марте прошлого года. Тогда специалисты обратили внимание на возможность блокировки экрана, предназначенную, как они предполагали, для требования выкупа у владельца зараженного компьютера. Позже выяснилось, что она была нужна для получения доступа к идентификационным сведениям Windows через протокол WDigest.

Ранее зловред уже научился добывать для злоумышленников пароли из браузеров, данные авторизации Windows и информацию для доступа к другим приложениям. В ноябре 2018-го авторы Trickbot добавили в состав зловреда модуль pwgrab32. Новый компонент умел копировать сведения для авторизации в Outlook, а также FTP-клиентах Filezilla и WinSCP. Кроме того, скрипт взламывал браузеры Chrome, Firefox, Internet Explorer и Edge, охотясь за сохраненными учетными данными, историей посещений и файлами куки.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх