De hackers achter de TrickBot Malware hebben hun nieuwe propagatiemodule bijgewerkt, bekend als "Nwrom". Omdat mensen goed bekend zijn met de TrickBot-malware, verschijnt deze keer met een nieuwe propagatiemodule.
Nu moeten velen van jullie denken dat wat er anders is aan deze propagatiemodule? Het is een verspreidingsmodule die over het algemeen wordt gebruikt voor het stelen van gevoelige informatie, wat bijdraagt aan backdoor-toegang, die later door verschillende illegale groepen wordt gebruikt om verschillende malware te verspreiden.
GB-hackers Rapporteerde verschillende TrickBot-activiteiten die voor het eerst werden ontdekt in 2016, en het begint meestal met het openen van de achtergrond die momenteel door de gebruiker wordt gebruikt.
Zodra het een manier krijgt om de computer binnen te komen, downloadt het geleidelijk verschillende modules om verschillende kwaadaardige taken eerst op de computer en vervolgens in het netwerk uit te voeren.
TrickBot-modules en de modules die worden gebruikt om te verspreiden
Welnu, het is een propagatiemodule die speciaal is ontwikkeld om gevoelige gegevens te stelen door de verschillende kwaadaardige infecties uit te voeren. TrickBot verschilt van andere malware omdat het verschillende binaire bestanden gebruikt om de verschillende taken uit te voeren tijdens de hele werking.
In eerste instantie slaat TrickBot het Windows executable (EXE) kwaadaardige bestand op de schijf, die bekend staat als de "TrickBot loader". Als we twee voorbeelden nemen van Windows 10 en 7, dan weet u misschien het hele ding.
Als een van de vensters 10 geïnfecteerd raakt, zijn de TrickBot-modules alleen in het systeemgeheugen te vinden. Terwijl gebruikers in de geïnfecteerde Windows 7 bovendien artefacten kunnen zien die zijn gekoppeld aan modules en zijn opgeslagen op de schijf.
Onlangs hebben TrickBot- en Ransomware-operators de handen ineengeslagen en zijn ze samengekomen om toegang te krijgen tot een onderhandeld netwerk zodat ze deze ransomware gemakkelijk kunnen gebruiken.
"Maar de artefacten die in Windows 7 worden getoond, zijn versleutelde binaire bestanden, en later tijdens de operatie worden deze versleutelde binaire bestanden ontsleuteld en vanuit het systeemgeheugen bediend als TrickBot-modules" Palo Alto Research bepaald.
Dit zijn de modules die door de TrickBot worden gebruikt: -
- Mshare-module
- Tabblad module
- Mworm-module
Om het SMB kwetsbaarheden in de domeincontroller de module doet dit, en hier is de grafiek die we hieronder hebben genoemd waarin je de stroom van de spread kunt zien die wordt veroorzaakt door de bovenstaande TrickBot-modules.
Tot ziens Mworm: Hallo "Nwrom"
Afgezien hiervan lanceert de nieuwe nworm-module ook de infectie in het geheugen van de domeincontroller, simpelweg om het complexer te maken en ondetecteerbaar te blijven, zodat het probleemloos kan worden uitgevoerd.
We weten dat TrickBot de nieuwe "Nwrom" propagatiemodule heeft geïntroduceerd, terwijl TrickBot begin 2020 stopte met het gebruik van de "Mworm" -module in een van de laboratoriumatmosferen. Dus als TrickBot stopt met het gebruik van de Mworm, introduceerden de operators van de TrickBot nieuwe artefacten die de naam "Nwrom" kregen, die aanvankelijk opkwamen in een van de geïnfecteerde window 7.
Het belangrijkste is dat deze nieuwe module, 'Nwrom', pas verschijnt als de TrickBot-infectie niet plaatsvindt in de AD-atmosfeer met DC vergelijkbaar met de 'Mworm'.
Wat vind je hiervan? Deel al uw meningen en gedachten in de opmerkingen hieronder.
U kunt ons volgen Linkedin, Twitter, Facebook voor dagelijkse Cybersecurity en hacking nieuwsupdates.
