Article Низкое разрешение экрана или старый монитор, как панацея от TrickBot

[Vander]

Разработчики популярного трояна TrickBot добавили опасную новую функцию. По словам экспертов по безопасному удалению данных, эта вредоносная программа теперь может проверять разрешение экрана жертвы, чтобы определить, запущено ли вредоносное ПО на виртуальной машине. Сканирование виртуальных машин - очень распространенный метод предотвращения кибератак.

• Trojan.TrickBot - это имя, используемое Malwarebytes при обнаружении банковского трояна, нацеленного на машины Windows.
  
  TrickBot, разработанный в 2016 году, является одним из новейших банковских троянских программ, многие оригинальные функции которого были вдохновлены Dyreza (еще один банковский троян). Помимо нацеливания на широкий спектр международных банков через свои веб-проекты, Trickbot также может воровать средства из биткойн-кошельков.
  
  Некоторые из его других возможностей включают сбор адресов электронной почты и учетных данных с помощью инструмента Mimikatz. Его авторы также демонстрируют способность к постоянным новым функциям и развитию.
  
  Trojan.TrickBot поставляется в виде модулей, сопровождаемых файлом конфигурации. У каждого модуля есть конкретная задача, такие как, закрепление в системе, распространение, кража учетных данных, шифрование и так далее. Команды управления установлены на взломанных беспроводных маршрутизаторах.

Разработчики вредоносных программ используют несколько методов, чтобы определить, запущено ли вредоносное ПО на виртуальной машине. Если это так, вероятно, вредоносное ПО анализируется следователем или изолированно в пользовательской среде песочницы. Эти методы включают поиск характерных процессов, служб Windows или имен компьютеров, а также проверку MAC-адресов сетевых карт или функций ЦП.

Как сообщил исследователь MalwareLab Мацей Котович, TrickBot анализирует разрешение экрана в зараженной системе, что помогает хакерам определить, работает ли вредоносная программа в изолированной среде.

Хотя TrickBot начинался как обычный банковский троян, разработчики добавили несколько функций, которые делают его одним из самых опасных вариантов вредоносного ПО в настоящее время. Среди функций, добавленных в TrickBot, - учетные данные, хранящиеся при краже браузера, кража баз данных в Active Directory, поиск файлов cookie, ключей OpenSSH, а также другие вредоносные действия, как отметили специалисты по безопасному удалению данных.

В своем расследовании Котович упоминает, что новый образец, обнаруженный с помощью TrickBot, проверяет, составляет ли разрешение экрана пораженного компьютера 800 × 600 или 1024 × 768, и если да, TrickBot не запускается.

​

Эксперт по безопасному удалению данных отмечает, что эти конкретные решения очень распространены в конфигурации большинства развертываний виртуальных машин.

При настройке этих инструментов исследователи редко устанавливают дополнительное программное обеспечение для повышения разрешения экрана в дополнение к изменению других функций (таких как улучшенное управление мышью, доступ к сети и др.): «VirtualBox, например, по умолчанию имеет разрешение 1024 × 768 », - упоминает Котович. Другими словами, пользователи, использующие мониторы с указанными выше разрешениями, могут быть менее подвержены заражению TrickBot, хотя стоит отметить, что они считаются разрешениями низкого качества, что затрудняет повседневную работу.

Для получения дополнительных отчетов об уязвимостях, эксплойтах, вариантах вредоносных программ и угрозах компьютерной безопасности рекомендуется зайти на сайт Международного института кибербезопасности (IICS), а также на официальные платформы технологических компаний.