Trickbot là phần mềm độc hại đầu tiên đánh cắp thông tin hệ thống, thông tin đăng nhập và dữ liệu nhạy cảm khác từ máy chủ Windows dễ bị tấn công từ năm 2016. Trickbot là một loại phần mềm độc hại module, một trong số đó là mô-đun thu thập mật khẩu. Vào tháng 11 năm 2019, các nhà nghiên cứu phát hiện ra rằng mục tiêu của mô-đun đánh cắp mật khẩu của Trickbot đã chuyển sang các ứng dụng OpenSSH và OpenVPN.
Module Trickbot
Các máy chủ Windows bị nhiễm Trickbot sẽ tải xuống các mô-đun khác nhau để thực hiện các chức năng khác nhau. Các mô-đun này được lưu trữ dưới dạng tệp nhị phân được mã hóa trong thư mục AppData \ Roaming của người dùng bị nhiễm. Sau đó, mã nhị phân được mã hóa được giải mã thành tệp DLL và chạy trong bộ nhớ hệ thống. Hình 1 là mô-đun Trickbot được mã hóa được tạo bởi máy chủ hệ thống Windows 7 64-bit bị nhiễm Trickbot vào ngày 8 tháng 11 năm 2019.
Không có nhận xét nào:
Đăng nhận xét