根据最新研究,臭名昭著的TrickBot恶意软件背后的威胁参与者与一种名为“Diavol”的新型勒索软件有关。
知名网络安全组织东方联盟的研究人员上周表示,本月早些时候,Diavol 和 Conti 勒索软件有效载荷部署在不同的系统上,以应对针对其客户之一的攻击失败。
TrickBot 是 2016 年首次检测到的银行木马,传统上是基于 Windows 的犯罪软件解决方案,采用不同的模块在目标网络上执行广泛的恶意活动,包括凭据盗窃和进行勒索软件攻击。
尽管执法部门努力消除 bot 网络,但不断发展的恶意软件已被证明是一种弹性威胁,俄运营商(被称为“ Wizard Spider ”)迅速调整新工具以进行进一步攻击。
据说 Diavol 迄今已在一次事件中被部署到野外。入侵的来源仍然未知。不过,很明显的是,payload 的源代码与 Conti 的源代码有相似之处,即使发现其勒索信重复使用了 Egregor 勒索软件的某些语言。
研究人员说表示:“作为相当独特的加密程序的一部分,Diavol 使用用户模式异步程序调用 (APC) 运行,而不使用对称加密算法,通常,勒索软件作者的目标是在最短的时间内完成加密操作。非对称加密算法不是显而易见的选择,因为它们对称算法慢得多。”
勒索软件突出的另一个方面是它依赖反分析技术以位图图像的形式混淆其代码,从那里将例程加载到具有执行权限的缓冲区中。
在使用勒索消息锁定文件和更改桌面墙纸之前,Diavol 执行的一些主要功能包括将受害设备注册到远程服务器、终止正在运行的进程、在系统中查找要加密的本地驱动器和文件以及防止通过删除卷影副本来恢复。
正如东方联盟研究人员所讲述的那样,Wizard Spider 的新生勒索软件努力也与“TrickBot webinject 模块的新发展”相吻合,这表明出于经济动机的网络犯罪组织仍在积极重组其恶意软件库。(欢迎转载分享)