Digitaalturbeettevõtte DeepInstinct uuringu kohaselt võis häkkida rohkem kui 250 miljonit e-posti kontot ja neid kasutati Trickboti pahavara levitamiseks Internetis. Uurimistulemused avalikustati eelmisel reedel (12) ja need näitasid, et lisaks USA, Ühendkuningriigi ja Kanada valitsuse ja avalike asutuste kontodele võis see mõjutada ka Gmaili, Yahoo ja Hotmaili aadresse.
Uus WannaLockeri pahavara on seotud mobiiltelefonidega ja võib varastada pangaandmeid
Lazy Trickbot on Interneti-turvalisuse valdkonna teadlaste seas teada juba 2016. aastast peale, see oli "ainult" panganduse trooja. Praeguses rünnakus hankis viirus nakkuse ja levimooduli, mis põhines e-posti aadressil ja küpsiste varastamise võimalusel. Praegu tungib pahavara ohvrite e-posti kontodele, et käivitada nende kontaktide jaoks rämpspost ning nakatada rohkem inimesi ja varastada pangaandmeid. Seejärel kustutage kõik, nii et see ei jätaks jälge.
Kuidas eemaldada viirusi Android-telefonist
Kas soovite osta mobiiltelefone, telereid ja muid sooduskaupu? Tutvuge TechTudo võrdlusega
Uue pahavara mooduli ja sellega seotud struktuuri uurimisel suutis DeepInstincts taastada andmebaasi, mis sisaldas 250 miljonit TrickBoti operaatori kogutud e-posti kontot.
Pahavaraga nakatunud masinatele antakse korraldus alla laadida jaotusprogramm nimega TrickBooster. See tarkvara teatab käsuserverile ja saadab volikirjade ja e-posti aadresside loendi, mis on kogutud nii aadressiraamatust kui ka sisendkaustadest ja väljundkastist.
Seejärel käsib server robotil kannatanu konto kaudu sellele aadressile pahatahtlikke rämpsposti e-kirju saata ja kohe pärast seda kustutab jäljed nii saadetud kui ka rämpspostisõnumitest. Seda strateegiat saab kasutada uute kontode levitamiseks ja nakatumiseks ning rämpsposti levitamiseks rahalistel eesmärkidel.
DeepInstinct'i infograafik näitab, kuidas Trickbot töötab. Foto: Divulgao / DeepInstinct
DeepInstincti taastatud e-postibaas sisaldab miljoneid populaarsete pakkujate, näiteks Gmaili ja Yahoo, aadresse, kuid sellel on ka ulatuslik valim valitsemissektori kontode kohta nii USA-s kui ka Ühendkuningriigis. Teisteks leitud organisatsioonideks olid ülikoolid Suurbritannias ja Kanadas ning mitmed Kanada provintsiasutused.
"Saame taastada TrickBoti operaatori kogutud 250 miljoni e-posti konto andmebaasi, mida kasutatakse tõenäoliselt ka ohtlike nakkuste ja sünnituste sihtnimekirjana. Andmebaas sisaldab miljoneid aadresse USA ja Suurbritannia valitsusasutustelt ja agentidelt," täpsustatud ametlik register ettevõte.
Uurimiskeskus andis välja ka kontonumbrite loendi, mida e-posti server võib mõjutada:
- Gmail.com 25 miljonit
- Yahoo.com 19 miljonit
- Hotmail.com 11 miljonit
- Aol.com 7 miljonit
- Msn.com 3 miljonit
- Yahoo.co.uk 2 miljonit
DeepInstinct'i teadlaste sõnul viidi Trickbotil läbi täiendav analüüs, kuid nentis TechCrunchi veebisaidile antud intervjuus, et TrickBoosteri integreerimine oli "võimas lisand juba niigi ulatuslikule TrickBoti tööriistade laole", võttes arvesse mooduli võimet vältida enamiku viirusetõrje tuvastamist. . Kuna rämpsposti saadetakse usaldusväärsetelt aadressidelt, suureneb ka ohvri võimalus nakatunud manuseid avada.
2016. aastal avastatud Trickbot esindab end viimastel aastatel jätkuva ohuna, millel on küberkuritegevuse maailmas erakordne kohanemisjõud. Pärast seda, kui pahavarakomplekt on keskendunud finantsandmete vargusele, on Trickbot nüüd keerukam oht, pakkudes erinevat tüüpi pahatahtlikku tegevust.
