មេរោគមិនសូវល្បីថ្មី trickbot នាំមកជាមួយសមត្ថភាពគ្រប់គ្រងដំណើរការលុកចូល។ Trickbot ជាមេរោគក្នុងវស័យធនាគារ ដោយវាមានសមត្ថភាពលួចយកព័ត៌មានសំខាន់ពីអ្នក ប្រើប្រាស់។ វាត្រូវគេរកឃើញតាំងពីយូរយារមកហើយ ថាជាអ្នកគំរាមកំហែងបន្ត និងបន្ថែមភាពថ្មីៗទៅឱ្យនឹងមេរោគ។ ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខពី TrendMicro សង្កេតឃើញ មេរោគមានកញ្ចប់ល្បិចជាច្រើនដើម្បីធ្វើការចាប់យកអត្តសញ្ញាណចូល។
ការឆ្លងមេរោគ Trickbot
ចង្កោមមេរោគចាប់ផ្តើមដោយអ៊ីម៉េលបង្ហាញជាការជូនដំណឹងពន្ធលើកទឹកចិត្តពីស្ថាប័នហិរញ្ញវត្ថុមួយ។ អ៊ីម៉េលមានចង្កោមបញ្ជីសៀវភៅ Microsoft Excel ។ សម្រាប់ការបណ្តាញអ៊ិនគ្រីបក្រុម trickbot បញ្ឆោតប្រើ XOR ឬ SUB ។
ចង្កោមនៃការឆ្លងមេរោគ
នៅពេលដែលអ្នកប្រើប្រាស់បើកសន្លឹកកិច្ចការម៉ាក្រូនឹងដំណើរការនិងទាញយក trickbot និងដំណើរការមេរោគនៅលើម៉ាស៊ីនដែលមានមេរោគ។
Trickbot ឆ្នាំ 2019 បន្ថែមមុខងារថ្មីចំនួនបីដូចខាងក្រោម៖
- ការគណនាបណ្តាញនិម្មិត (VNC)
- PuTTY
- ការបញ្ជាពីចម្ងាយ (RDP)
Virtual Network Computing (VNC)
ដើម្បីទទួលយកព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ pwgrab ត្រូវគេប្រើដើម្បីស្វែងរក vnc.lnk នៅក្នុងថតខាងក្រោម លើប្លុកTrendMicro។ ព័ត៌មានខាងក្រោមមានប្រភពមកពីម៉ាស៊ីន មេរោគ និងបង្ហាញម៉ាស៊ីនបម្រើពាក្យបញ្ជា និងគ្រប់គ្រង(C & C) ៖
- ឈ្មោះម៉ាស៊ីនរបស់ម៉ាស៊ីនគោលដៅ
- ផត
- ការកំណត់ប្រូកស៊ីបានលួចព័ត៌មាននៅម៉ាស៊ីនបម្រើ C & C ។
ដើម្បីដណ្តើមយកភាពជឿជាក់របស់ putty វានឹងសួរពីកម្មវិធី SimonTatham \ Putty \ Session ដើម្បីសម្គាល់វគ្គដែលរក្សាទុក និងចាប់យកព័ត៌មានដូចខាងក្រោម៖
- ឈ្មោះម៉ាស៊ីននិងឈ្មោះអ្នកប្រើ
- កូនសោឯកជនសម្រាប់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ
RDP
វាប្រើ CredEnumerateA API ដើម្បីស្វែងរកព័ត៌មានសម្គាល់អត្តសញ្ញាណចូលនិងបំបាត់ឈ្មោះម៉ាស៊ីនរបស់អ្នកប្រើ និងពាក្យសម្ងាត់។
ប្រភពព័ត៌មាន៖
