روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ دقیقاً 5 سال پیش -اکتبر سال 2016- راهکارهای ما برای اولین بار با تروجانی به نام Trickbot (همچنین با نام‌های TrickLoader یا Trickster هم شناخته شده است) مواجه شدند. این تروجان که آن زمان بیشتر روی کامپیوترهای خانگی ساخته شده بود وظیفه‌ی اصلی‌اش سرقت اطلاعات محرمانه‌‌ی سرویس‌های بانکی آنلاین بود. با این حال در سال‌های اخیر، سازندگان آن فعالانه این تروجان بانکی را به یک ابزار ماژول چندکاره تبدیل کرده‌اند.

افزون بر این، تریک‌بات اکنون به این معروف شده که گروه‌های جرایم سایبری از آن بعنوان وسیله‌ای برای تزریق بدافزار مر‌سوم به زیرساخت سازمانی استفاده می‌کند. رسانه‌های خبری اخیرا گزارش کرده‌اند که نویسندگان Trickbot با شرکای متعددی ارتباط گرفته‌اند و هدفشان هم از این ارتباط‌گیری استفاده از این بدافزار برای آلوده کردن زیرساخت سازمانی با هر نوع تهدیدهای اضافی همچون باج‌افزار Conti است. چنین استفاده مجددی می‌تواند برای کارمندان مراکز عملیات امنیتی سازمان و سایر متخصصین امنیت سایبری خطرات بیشتری بیافریند. برخی از راهکارهای امنیتی هنوز هم Trickbot را به چشم یک تروجان بانکی می‌بینند (حال آنکه این فقط تخصص اولیه‌ی آن بوده است). از این رو، افسران امنیت اطلاعات که شناسایی‌اش می‌کنند ممکن است آن را یک تهدید کاربر خانگی رندوم فرض کنند که تصادفاً به شاکله شبکه سازمانی نفوذ کرده است.

قابلیت‌های کنونی تروجان Trickbot

هدف اصلی تریک‌باتِ مدرن نفوذ و تسری به شبکه‌های لوکال است. عاملین این تروجان سپس می‌توانند از آن برای مقاصد مختلف استفاده کنند- از بازفروش دسترسی آن به زیرساخت سازمانی به مهاجمین طرف‌سوم گرفته تا سرقت داده‌های حساس. در ادامه قابلیت‌های این بدافزار را مورد بررسی قرار داده‌ایم:

•         جمع‌آوری نام‌های کاربری، هش‌های پسورد و سایر اطلاعات مفید برای حرکت‌های جانبی در شبکه از طریق دایرکتوری فعال و رجیستری
•         رهگیری ترافیک وب روی کامپیوتر آلوده
•         ارائه‌ی کنترل ریموت دستگاه از طریق پروتکل VNC
•         سرقت کوکی‌ها از مرورگرها
•         استخراج اطلاعات محرمانه لاگین از رجیستری، پایگاه‌های اطلاعاتی اپلیکیشن‌های مختلف و فایل‌های پیکربندی و نیز سرقت کلیدهای خصوصی، گواهی‌های SSL و فایل‌های داده برای کیف‌پول‌های رمزارز
•         رهگیری داده‌های اتوفیل از مرورگرها و اطلاعاتی که کاربران روی وبسایت‌ها به عنوان ورودی می‌گذارند
•         اسکن فایل‌های روی سرورهای FTP و SFTP
•         جاگذاری اسکریپت‌های آلوده در وب‌پیج‌‌ها
•         ریدایرکت ترافیک مرورگر از طریق یک پروکسی لوکال
•         سرقت APIهای مسئول برای تأیید رنجیره گواهی مخصوص جعل نتایج تأییدیه
•         جمع‌آوری اطلاعات پروفایل Outlook، رهگیری ایمیل‌ها در Outlook و ارسال اسپم از طریق آن
•         جستجوی سرویس OWA و جستجوی فراگیرِ آن
•         بدست آوردن دسترسی سطح پایین به سخت‌افزار
•         ارائه دسترسی به کامپیوتر در سطح سخت‌افزار
•         اسکن دامنه‌ها برای آسیب‌پذیری‌ها
•         پیدا کردن آدرس‌های سرورهای SQL و اجرای صف‌های جستجو روی آن‌ها
•         توزیع از طریق اکسپلویت‌های EternalRomance و EternalBlue
•         ساختن کانکشن‌های وی‌پی‌ان

راهکارهای امنیتی

آمار و ارقام نشان می‌دهد تروجان Trickbot امسال بیشتر از همه در کشورهای آمریکا، استرالیا، چین، مکزیک و فرانسه دیده شده است. با این حال این بدان معنا نیست که کشورهای دیگر امن هستند؛ خصوصاً اینکه سازندگان این تروجان آماده‌اند با سایر مجرمان سایبری در اقدامات جدید هم‌دست شوند. برای جلوگیری از قربانی شدن شرکت‌تان توصیه می‌کنیم دستگاه‌های کانکتد خود را به راهکارهای امنیتی باکیفیت تجهیز کنید. افزون بر این، استفاده از سرویس‌های نظارت تهدیدهای سایبری نیز برای شناسایی فعالیت مشکوک در زیرساخت شرکت توصیه می‌شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.