Home Truebot Malware: Ghid complet

Truebot Malware: Ghid complet

Centrul canadian pentru securitate cibernetică (CCCS) și Centrul de analiză și partajare a informațiilor pe mai multe state au avertizat cu privire la variantele malware TrueBot nou identificate utilizate împotriva organizațiilor din SUA și Canada. Impactul unui atac Truebot poate fi sever și variat, implicând furtul de date sensibile, cum ar fi informații de identificare personală (PII), înregistrări financiare sau proprietate intelectuală. Truebot poate implementa, de asemenea, încărcături suplimentare de programe malware, cum ar fi ransomware, pentru a cripta fișierele critice și a extorca plăți de la organizația vizată. CISA și partenerii săi au lansat un comunicat comun.aviz de securitate cibernetică privind variantele de malware Truebotasta explică modul în care Truebot a fost observat în asociere cu Raspberry Robin și modul în care infractorii cibernetici pot obține acces inițial, precum și capacitatea de a se deplasa lateral în cadrul rețelei compromise.

Experții SalvageData recomandă măsuri proactive de securitate a datelor, cum ar fi backup-uri regulate, practici puternice de securitate cibernetică și menținerea la zi a software-ului, pentru a proteja împotriva atacurilor malware. Şi,în cazul unui atac de malware, contactați-neexperți în recuperarea programelor malwareimediat.

Ce fel de malware este Truebot?

Truebot poate fi identificat atât ca: amalware botnetsi aTrojan.Downloader. A fost folosit de grupuri cibernetice rău intenționate, cum ar fi Cl0p Ransomware Gang, pentru a colecta și a exfiltra informații de la victimele sale țintă. Este capabil să descarce și să execute încărcături suplimentare, făcându-l un malware ideal pentru grupurile IAB care doresc să planteze o ușă în spate pe un sistem și să facă o recunoaștere de bază a rețelei. Programul malware Truebot scanează mediul compromis pentru instrumente de depanare și le enumeră pentru a evita apărarea rețelei. Pentru a-și menține ascuns, malware-ul limitează datele pe care le colectează și se sincronizează cu datele organizaționale de ieșire/traficul de rețea.

Ce este un malware pentru botnet?

Un botnet este o rețea de dispozitive conectate la internet, cum ar fi computere, servere, dispozitive mobile și dispozitive Internet of Things (IoT), care sunt infectate și controlate de malware. Malware-ul infectează dispozitivele și creează un bot, care este controlat de la distanță de către atacator sau bot-herder. Malware-ul botnet caută în mod obișnuit dispozitive cu puncte finale vulnerabile pe internet, mai degrabă decât să vizeze anumite persoane, companii sau industrii. Obiectivul creării unei rețele bot este de a infecta cât mai multe dispozitive conectate și de a folosi acele dispozitive pe scară largă pentru automatizarea sarcinilor generale. ascunse de utilizatorii dispozitivelor.

Ce este un Trojan.Downloader?

Trojan.Downloader este un tip de malware troian care descarcă și instalează alte programe sau fișiere rău intenționate pe dispozitivul unei victime fără știrea sau consimțământul acesteia. Descărcările troiene pot fi deghizate ca software legitim sau util, cum ar fi o actualizare de software sau un joc, și sunt adesea distribuite ca parte a încărcăturii utile a unui alt program dăunător, cum ar fi un troian-dropper. Ele pot fi, de asemenea, distribuite ca fișiere deghizate atașate la e-mailurile spam, folosind un program care sună legitim sau nume de documente, cum ar fi „factură” sau „accounts.exe”, ca o simplă formă de inginerie socială.

Citeşte mai mult:Ce este malware și cum să vă protejați împotriva atacurilor malware?

Tot ce știm despre malware Truebot

Nume confirmat

  • Virusul Truebot

Tipul de amenințare

  • Programe malware
  • troian
  • Virus care fură parola
  • Malware bancar
  • Spyware

Încărcătură utilă

  • Zmeura Robin
  • FlawedGrace
  • Lovitură de cobalt
  • Cl0p ransomware,

Metode de distribuire

  • Inginerie socială
  • phishing
  • Exploatarea CVE-2022-31199
  • Malvertising
  • Seturi de exploatare
  • Software piratat

Consecințele

  • Parole furate și informații bancare
  • Furtul de identitate
  • Computerul victimei este adăugat la o rețea bot.

Cum infectează malware-ul Truebot o mașină sau o rețea?

Programele malware, precum ransomware-ul, folosesc mai multe tactici pentru a infecta mașini și sisteme, majoritatea prin exploatarea vulnerabilităților. Acestea includ software fără corecții și parole slabe.

Inginerie socială

Atacatorii folosesc tactici de inginerie socială pentru a manipula oamenii să partajeze informații pe care nu ar trebui să le partajeze, să descarce software pe care nu ar trebui să le descarce, să viziteze site-uri web pe care nu ar trebui să le viziteze, să trimită bani infractorilor sau să facă alte greșeli care le compromit securitatea personală sau organizațională.

phishing

Malware Truebot s-a bazat în trecut pe e-mailurile de phishing ca metodă principală de livrare, păcălindu-i pe destinatari să facă clic pe hyperlinkuri rău intenționate sau ascunzând programele malware ca notificări de actualizare a software-ului.

Exploatarea vulnerabilităților CVE-2022-31199

Malware Truebot exploatează în mod activ CVE-2022-31199, o vulnerabilitate de execuție a codului de la distanță în componenta Netwrix Auditor User Activity Video Recording care permite unui atacator la distanță neautentificat să execute cod arbitrar ca utilizator NT AUTHORITYSYSTEM pe sistemele afectate, inclusiv pe sistemele monitorizate de Netwrix Auditor. Atacatorii folosesc această vulnerabilitate pentru a furniza noi variante de malware Truebot și pentru a colecta și a exfiltra informații de la organizații din SUA și Canada.

Seturi de malvertising și exploatare

Malvertising este utilizarea de publicitate online, care pare a fi legitimă, pentru a răspândi malware. Kiturile de exploatare sunt software pre-ambalate care pot fi folosite pentru a exploata vulnerabilitățile dintr-un sistem.

Software piratat

Atacatorii pot infecta software-ul piratat cu malware și îl pot distribui prin site-uri torrent sau alte platforme de partajare a fișierelor.

Metode de execuție malware Truebot

Truebot malware este un malware sofisticat care folosește diferite metode pentru a infecta sistemele și rețelele. Obiectivul principal al unei infecții cu Truebot este acela de a exfiltra datele sensibile de la gazdele compromise pentru câștiguri financiare.

Colectarea datelor

În prima etapă a procesului de execuție Truebot, acesta verifică versiunea curentă a sistemului de operare (OS) cu RtlGetVersion și arhitectura procesorului folosind GetNativeSystemInfo. În timpul fazei de execuție a lui FlawedGrace, RAT stochează încărcăturile utile criptate în registru. Instrumentul poate crea sarcini programate și poate injecta încărcături utile în msiexec.exe și svchost.exe, care sunt procese de comandă care îi permit lui FlawedGrace să stabilească o conexiune de comandă și control (C2) la un server la distanță, precum și să încarce biblioteci de legături dinamice (DLL) pentru a realiza escaladarea privilegiilor. La câteva ore după accesul inițial, Truebot a fost observat injectând balize Cobalt Strike în memorie într-un mod latent pentru primele ore înainte de a iniția operațiuni suplimentare.

Descoperire și evaziune pentru apărare

În urma verificărilor inițiale pentru informații despre sistem, Truebot poate enumera toate procesele care rulează, colectează date sensibile ale gazdei locale și trimite aceste date la un șir de date codificate descris mai jos pentru a doua etapă de execuție. Pe baza IOC-urilor, Truebot poate descoperi, de asemenea, protocoale de securitate software și metrici de timp ale sistemului, care ajută la evadarea apărării, precum și permite sincronizarea cu programul de funcționare a sistemului internă compromis. dezvoltatorii folosesc tehnici sofisticate pentru a evita detectarea de către soluțiile tradiționale de securitate. Ei folosesc diverse metode pentru a deghiza malware-ul în formate de fișiere legitime, ceea ce face mai dificilă identificarea și blocarea sistemelor de securitate. În plus, Truebot folosește metode de codare și criptare pentru a-și ofusca activitățile, ceea ce face mai dificil pentru analiștii de securitate să analizeze și să detecteze activitățile sale rău intenționate.

Exfiltrarea datelor

Truebot a stabilit o conexiune folosind un identificator unic global (GUID) nou generat și un al doilea domeniu ofuscat pentru a primi încărcături suplimentare, a se auto-replica în mediu și/sau a șterge fișierele utilizate în operațiunile sale.

Indicatori de compromis Truebot Malware (IOC)

Agenția de securitate cibernetică și a infrastructurii (CISA) a emis un avertisment consultativ că mai multe grupuri de actori de amenințări folosesc noi variante de malware Truebot în atacurile împotriva organizațiilor din SUA și Canada. Avizul conține indicatori de compromis (IOC) pe care organizațiile îi pot folosi pentru a identifica activitatea Truebot în mediul lor. Organizațiile care identifică IOC-uri în mediul lor ar trebui să aplice de urgență răspunsurile la incident și măsurile de atenuare detaliate în aviz și să raporteze intruziunea către CISA sau FBI. Unele dintre companiile IOC pe care trebuie să le urmărească sunt:

  • Înregistrat– GKG[.]NET Domain Proxy Service Administrator
  • IP– 193.3.19[.]173 (Rusia)
  • Domeniu– https://corporacionhardsoft[.]com/images/2/Document_16654.exe
  • MD5 Hash– 6164e9d297d29aa8682971259da06848
  • Fişier– Document_may_24_16654[.]exe
  • Fişier– C:IntelRuntimeBroker[.]exe
  • Fişier– Document_16654[.]exe

Cum să gestionați un atac de malware Truebot

Primul pas pentru a vă recupera după un atac Truebot este izolarea computerului infectat prin deconectarea lui de la internet și eliminarea oricărui dispozitiv conectat. Apoi, trebuie să contactați autoritățile locale. În cazul rezidenților și întreprinderilor din SUA, este vorba de FBI șiCentrul de reclamații privind infracțiunile pe internet (IC3).Pentru a raporta un atac de malware, trebuie să adunați toate informațiile pe care le puteți despre acesta, inclusiv:

  • Capturi de ecran ale notei de răscumpărare
  • Comunicarea cu actorii amenințărilor (dacă îi aveți)
  • O mostră dintr-un fișier criptat

Cu toate acestea, dacă preferațicontactați profesioniști, atunci nu faci nimic.Lăsați fiecare mașină infectată așa cum estesi cere unserviciu de eliminare de urgență a ransomware. Repornirea sau oprirea sistemului poate compromite serviciul de recuperare. Capturarea memoriei RAM a unui sistem activ poate ajuta la obținerea cheii de criptare și capturarea unui fișier dropper, adică fișierul care execută încărcătura utilă rău intenționată, ar putea fi proiectată invers și poate duce la decriptarea datelor sau la înțelegerea modului în care funcționează.nu ștergeți malware-ulși păstrați toate dovezile atacului. Asta este important pentrucriminalistica digitalaastfel încât experții să poată urmări până la grupul de hackeri și să-i identifice. Autoritățile pot folosi datele de pe sistemul dumneavoastră infectatinvestigați atacul și găsiți vinovatul.O investigație de atac cibernetic nu este diferită de orice altă anchetă penală: are nevoie de dovezi pentru a-i găsi pe atacatori.

1. Contactați furnizorul dvs. de răspuns la incident

Un răspuns la incident cibernetic este procesul de răspuns și de gestionare a unui incident de securitate cibernetică. An Incident Response Retainer este un acord de servicii cu un furnizor de securitate cibernetică care permite organizațiilor să obțină ajutor extern cu incidentele de securitate cibernetică. Oferă organizațiilor o formă structurată de expertiză și asistență printr-un partener de securitate, permițându-le să răspundă rapid și eficient în timpul unui incident cibernetic. Natura și structura specifică a unui reținător de răspuns la incident va varia în funcție de furnizor și de cerințele organizației. O bună menținere a răspunsului la incident ar trebui să fie robustă, dar flexibilă, oferind servicii dovedite pentru a îmbunătăți postura de securitate pe termen lung a unei organizații.Dacă contactați furnizorul dvs. de servicii IR, acesta vă poate prelua imediat și vă poate ghida prin fiecare pas al recuperării ransomware.Cu toate acestea, dacă decideți să eliminați singur malware-ul și să recuperați fișierele cu echipa IT, atunci puteți urma următorii pași.

2. Identificați infecția cu malware

Puteți identifica ce malware v-a infectat mașina utilizând uninstrument ID ransomware.De asemenea, puteți verifica tipul de malware după IOC-urile sale. Indicatorii de compromis (IOC) sunt indicii digitale pe care profesioniștii în securitate cibernetică le folosesc pentru a identifica compromisurile sistemului și activitățile rău intenționate într-o rețea sau un mediu IT. Ele sunt în esență versiuni digitale ale dovezilor lăsate la locul crimei, iar potențialele IOC includ trafic neobișnuit de rețea, autentificări privilegiate ale utilizatorilor din țări străine, solicitări DNS ciudate, modificări ale fișierelor de sistem și multe altele. Când este detectat un IOC, echipele de securitate evaluează posibilele amenințări sau validează autenticitatea acestuia. IOC-urile oferă, de asemenea, dovezi la ce avea acces un atacator dacă s-a infiltrat în rețea.

3. Utilizați o copie de rezervă pentru a restaura datele

Backup-urile sunt cea mai eficientă modalitate de a recupera datele. Asigurați-vă că păstrați copii de rezervă zilnice sau săptămânale, în funcție de utilizarea datelor.

4. Contactați un serviciu de recuperare a programelor malware

Dacă nu aveți o copie de rezervă sau aveți nevoie de ajutor pentru a elimina malware-ul și a elimina vulnerabilitățile, contactați un serviciu de recuperare de date. Plata răscumpărării nu garantează că datele dumneavoastră vă vor fi returnate. Singura modalitate garantată în care puteți restaura fiecare fișier este dacă aveți o copie de rezervă. Dacă nu o faceți, serviciile de recuperare a datelor ransomware vă pot ajuta să decriptați și să recuperați fișierele. Experții SalvageData vă pot restaura fișierele în siguranță și pot împiedica malware-ul Truebot să vă atace din nou rețeaua. Contactați experții noștri 24/7 pentru servicii de recuperare a ransomware.

Preveniți atacul malware Truebot

Prevenirea programelor malware este cea mai bună soluție pentru securitatea datelor. este mai ușor și mai ieftin decât recuperarea după ele. Programul malware Truebot poate costa viitorul afacerii dvs. și chiar poate să-i închidă porțile. Acestea sunt câteva sfaturi pentru a vă asigura că putețievita atacurile malware:

  • Păstrează-ți sistem de operare și software la zicu cele mai recente patch-uri și actualizări de securitate. Acest lucru poate ajuta la prevenirea vulnerabilităților care pot fi exploatate de atacatori.
  • Utilizați parole puternice și unicepentru toate conturile și activați autentificarea cu doi factori ori de câte ori este posibil. Acest lucru poate ajuta la prevenirea atacatorilor să obțină acces la conturile dvs.
  • Fiți atenți la e-mailurile, linkurile și atașamentele suspecte.Nu deschideți e-mailuri și nu faceți clic pe linkuri sau atașamente din surse necunoscute sau suspecte.
  • Utilizați software antivirus și anti-malware de renumeși ține-l la zi. Acest lucru poate ajuta la detectarea și eliminarea malware-ului înainte ca acesta să provoace daune.
  • Utilizați un firewallpentru a bloca accesul neautorizat la rețeaua și sistemele dvs.
  • Segmentarea rețeleipentru a împărți o rețea mai mare în subrețele mai mici, cu interconectivitate limitată între ele. Limitează mișcarea laterală a atacatorului și împiedică utilizatorii neautorizați să acceseze proprietatea intelectuală și datele organizației.
  • Limitați privilegiile utilizatoruluipentru a împiedica atacatorii să obțină acces la date și sisteme sensibile.
  • Educați angajații și personaluldespre cum să recunoașteți și să evitați e-mailurile de phishing și alte atacuri de inginerie socială.

Related Posts

Cum să scrii un rezumat al ședinței care inspiră acțiune

Cum să scrii un rezumat al ședinței care inspiră acțiune

2025-05-07
Cum să găzduiești o întâlnire Zoom fără a te conecta

Cum să găzduiești o întâlnire Zoom fără a te conecta

2025-11-26
Cum să convertiți fișierele IMG în format ISO pe Windows

Cum să convertiți fișierele IMG în format ISO pe Windows

2025-03-27
Cum să ocoliți restricția de descărcare Microsoft Office

Cum să ocoliți restricția de descărcare Microsoft Office

2025-09-22
Cum să crăpați parola Windows Vista cu unitatea USB

Cum să crăpați parola Windows Vista cu unitatea USB

2025-05-09
Cum să arhivezi aplicații pe Android pentru a recupera spațiu de stocare

Cum să arhivezi aplicații pe Android pentru a recupera spațiu de stocare

2024-12-04
Servicii de management IT pentru afaceri de orice dimensiune

Servicii de management IT pentru afaceri de orice dimensiune

2024-12-27
Windows detectează doar o unitate NTFS atunci când două sunt conectate

Windows detectează doar o unitate NTFS atunci când două sunt conectate

2025-01-14
Cum să puneți caractere aldine într

Cum să puneți caractere aldine într

2025-05-07
Hei, suntem All Things How. Centrul dvs. suprem de instrucțiuni tehnice.

Hei, suntem All Things How. Centrul dvs. suprem de instrucțiuni tehnice.

2025-03-25
Noul cip de 2 NM al Apple va face Vision Pro 2 și mai bun

Noul cip de 2 NM al Apple va face Vision Pro 2 și mai bun

2025-09-22
Sfaturi și răspunsuri Wordle: 4 noiembrie 2025

Sfaturi și răspunsuri Wordle: 4 noiembrie 2025

2025-11-03
Cum să activați automat Picture-in-Picture în Firefox

Cum să activați automat Picture-in-Picture în Firefox

2024-12-18
Proiect de conversie HTML în WordPress

Proiect de conversie HTML în WordPress

2024-11-24
Descărcați Windows 11 IoT Enterprise LTSC ISO

Descărcați Windows 11 IoT Enterprise LTSC ISO

2025-04-06