دو تروجان بانکی با نام های “Emotet” و “Trickbot” به منظور انتشار خود در سطح ماشین های کامپیوتری موجود در یک شبکه داخلی و همچنین بالا بردن شانس خود به منظور آلوده کردن تمامی ماشین ها به ساختار خود یک کرم اینترنتی افزوده اند. این مورد در بین بدافزارهای بانکی کاملا تازه است چرا که تا کنون هیچ تروجان بانکی شناسایی نشده است که دارای ماژول کرم اینترنتی به منظور انتشار خود در سطح یک شبکه داخلی باشد. عموما بدافزارهای طراحی شده برای هدف قرار دادن قسمت های مالی و اقتصادی تمرکز خود را روی ناشناس بودن و همچنین جمع آوری اعتبارنامه قرار می دهند. اما به نظر می رسد بعد از کسب موفقیت باج افزار WannaCry و سپس NotPetya ما شاهد کرم های اینترنتی در بدافزارهای بانکی باشیم. بدافزار Emotet اولین تروجان بانکی است که این قابلیت به آن افزوده شده است. این ویژگی توسط پژوهشگرهای امنیت Fidelis و Barkly شناسایی شده است. این تروجان بانکی یک فایل فشرده شده بر روی ماشین های آلوده شده اجرا کرده و سپس از آن اقدام به جستجو و گرفتن دسترسی به منابع موجود در شبکه داخلی با استفاده از روش جستجوی فراگیر می کند. تروجان بانکی دوم TrickBot است که ماژول شبه کرم به آن افزوده شده است. این تروجان بانکی که از طریق هرزنامه و بات نت Necurs گسترش پیدا می کند با استفاده از رابط برنامه نویسی NetServerEnum لیست دامنه ها را جستجو کرده و اطلاعات دیگر کامپیوترها را از طریق Lightweight Directory Access Protocol جمع آوری می کند. خبر خوب درباره بدافزار TrickBot این است که ماژول کرم SMB این بدافزار به صورت کامل هنوز پیاده سازی نشده است و خبر بد این است که طراحان این بدافزار به صورت مستمر در حال کار و فعالیت هستند که ویژگی های این بدافزار را توسعه بدهند که این بدین معناست زمان زیادی طول نمی کشد که این بدافزار بتواند از آسیب پذیری SMB با موفقیت به منظور انتشار خودش سوء استفاده کند.
منابع:
🌏: https://www.bleepingcomputer.com/news
🇮🇷: کاشف
