Nworm TrickBot-Trojaner für das stille Malware-Verbreitungs modul

Mark June 1, 2020

Der Trickbot-Banking-Trojaner hat ein neues Malware-Modul entwickelt, das die Windows-Domänencontroller heimlich ohne Erkennung angreift. In der Vergangenheit wurden der Trickbot-Malware so viele neue Module hinzugefügt, dass ständig neue zusätzliche Module bereitgestellt werden und daher heimlich verschiedene Arten von böswilligen Aktivitäten ausgeführt werden können. Der Trickbot-Trojaner kann Cookies, Active Directory-Dienstdatenbanken, Open SSHKeys, PuTTY-Anmeldeinformationen und vieles mehr stehlen. Die Cyberkriminellen arbeiten mit TrickBot zusammen, um geheimen Zugriff auf das Zielnetzwerk für Ransomware-Angriffe zu erhalten.

Was ist Nworm?

Laut dem Bericht von Palo Alto Unit 42 hat der Trickbot eine neue Version des Netzwerkverbreitungsmoduls “nworm” veröffentlicht und kann eine Erkennung vermeiden, da er den Windows-Domänencontroller angreift. Nach erfolgreicher Installation führt dieser Trickbot eine schnelle Analyse der laufenden Umgebung durch und lädt heimlich mehrere Module in die Hintertür herunter, um vordefinierte böswillige Aktivitäten auszuführen. Es infiziert sowohl den PC als auch das Netzwerk.

In der Vergangenheit haben wir gesehen, wie Trickbot erfolgreich Module wie “mworm” und “mshare” in der “Windows Active Directory” -Umgebung heruntergeladen und anfällige Domänencontroller infiziert hat. Das Modul nutzt die SMB-Schwachstellen aus, um den Domänencontroller anzugreifen.

Mworm wird ab September 2019 von Trickbot verwendet und überträgt die ausführbare Trickbot-Datei unverschlüsselt auf den anfälligen anfälligen Domänencontroller.

Angriffsfluss bis März 2020

Da die ausführbare Malware-Datei unverschlüsselt ist, kann die im Domänencontroller vorhandene Sicherheitsanwendung sie erkennen und nach dem Kopieren entfernen.

Daher hat der Entwickler im April 2020 ein neues aktualisiertes Modul eingeführt, nämlich „Nworm“, das nur sehr schwer zu erkennen ist.

Angriffsfluss seit April 2020

Der neue “nworm” verschlüsselt die ausführbare Trickbot-Datei, daher ist es für Sicherheitsanwendungen sehr schwierig, sie zu erkennen. Außerdem wird die Infektion auf dem Domänencontroller im Speicher gestartet. Dies ist eine sehr effektive Methode, um den TrickBot in den Domänencontroller einzudringen, ohne erkannt zu werden.

Bei einem Schritt voraus, um die Verstohlenheit zu verbessern, startet der Trickbot nicht erneut, wenn der PC neu gestartet wird. Es ist jedoch sehr selten, dass Domänencontroller neu gestartet werden. Normalerweise hat die Malware genügend Zeit, um die schädlichen Aufgaben auszuführen und abzuschließen.

Tags: , , ,

More Stories

Windows 11 Update: Verabschieden Sie sich von diesen Funktionen

Mark June 25, 2021

Massachusetts MassNotify Android COVID-App von Google erzwungen

Mark June 21, 2021

Was ist neu bei Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

So entfernen Haffnetworkm2.com vom PC

Mark April 27, 2024

So entfernen Oneriasinc.com-Anzeigen

Mark April 27, 2024

So entfernen Myflisblog.com vom PC

Mark April 27, 2024

So entfernen Likudservices.com vom PC

Mark April 27, 2024

So entfernen Phaliconic.com vom PC

Mark April 27, 2024