Троян TrueBot теперь грузится с сайтов под видом апдейта Chrome

Троян TrueBot теперь грузится с сайтов под видом апдейта Chrome

Троян TrueBot теперь грузится с сайтов под видом апдейта Chrome

В мае специалисты VMware зафиксировали рост активности, связанной с атаками TrueBot. Как оказалось, операторы трояна вновь сменили способ его доставки и теперь используют скрытую загрузку через браузер, выдавая вредоноса за обновление Google Chrome.

По данным экспертов, троянский загрузчик TrueBot, ассоциируемый с преступной группой Silence, активен в интернете как минимум с 2017 года. Он применяется в основном в атаках на банки и другие финансовые институты, реже — на образовательные учреждения.

В прошлом месяце злоумышленники раздавали зловреда в виде файлов update.exe и chrome.exe в надежде, что пользователи браузера Google разрешат исполнение. Судя по IoC, приведенным в блог-записи VMware, на настоящий момент замаскированный таким образом экзешник пока не детектится.

При запуске вредонос прежде всего ищет признаки наличия EDR и антивирусов. Если угрозы нет, он подключается к C2-серверу (российский IP и ранее использовался в атаках TrueBot) и загружает пейлоад второй ступени (3ujwy2rz7v.exe, уровень детектирования на 5 июня — 30/69), запуск которого осуществляется с помощью утилиты командной строки Windows.

Второй исполняемый файл устанавливает связь со своим C2 и выполняет различные действия в системе: получает дампы LSASS, перечисляет запущенные процессы, ворует и выводит конфиденциальную информацию.

 

Ботоводы долгое время распространяли TrueBot, проводя целевые имейл-рассылки. В прошлом году они опробовали эксплойт CVE-2022-31199 для Netwrix Auditor, а также USB-червя Raspberry Robin в качестве вектора доставки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В KUMA 4.0 появился ИИ для выявления атак с подменой DLL-библиотек

«Лаборатория Касперского» выпустила обновлённую версию своей SIEM-системы KUMA — теперь в ней появился модуль с элементами искусственного интеллекта, который помогает выявлять атаки с подменой библиотек (DLL hijacking). Это один из способов обойти защиту, при котором злоумышленники подсовывают вредоносную библиотеку вместо легитимной.

В KUMA добавили ИИ-механизм, который отслеживает загружаемые библиотеки и отмечает подозрительные случаи.

Такие события можно использовать для построения инцидентов и дальнейшего расследования. Чтобы задействовать новые возможности, нужно подключить специальное правило обогащения типа DLLHijacking, а также обеспечить доступ в интернет.

Ещё одно обновление касается интеграции с системой внешней киберразведки Kaspersky Digital Footprint Intelligence. Это позволяет KUMA автоматически реагировать, например, на утечки паролей или учётных данных — для таких случаев теперь создаются алерты, которые можно исследовать внутри самой SIEM.

Также переработана функциональность панелей мониторинга и отчётности. Теперь их можно переносить между разными установками системы и получать обновления. Добавлены новые визуальные виджеты — можно строить тренды, комбинировать графики, отображать связи между событиями и прочее.

Для помощи аналитикам в системе работает ИИ-ассистент на базе GigaChat 2.0 — он помогает обрабатывать события и расследовать инциденты быстрее. Как говорят разработчики, такие улучшения должны снизить нагрузку на команды ИБ и помочь им сосредоточиться на действительно сложных инцидентах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru