През май 2023 г. се наблюдава рязко повишаване на активността на TrueBot, разкриват изследователи в областта на киберсигурността.

„TrueBot е ботнет с троянски коне за изтегляне, който използва сървъри за командване и контрол, за да събира информация за компрометирани системи и да използва тази компрометирана система като отправна точка за по-нататъшни атаки“, заяви Фей Карлайл от VMware.

Активен поне от 2017 г., TrueBot е свързан с група, известна като Silence, за която се смята, че има общи припокривания с известния руски киберпрестъпник, известен като Evil Corp.

Последните инфекции с TrueBot са използвали критичен недостатък в Netwrix auditor (CVE-2022-31199, CVSS оценка: 9,8), както и Raspberry Robin като вектори за доставка.

Веригата от атаки, документирана от VMware, от друга страна, започва с drive-by-download на изпълним файл с име „update.exe“ от Google Chrome, което предполага, че потребителите са подмамени да изтеглят зловредния софтуер под претекст за софтуерна актуализация.

След като бъде стартиран, update.exe установява връзки с известен IP адрес на TrueBot, намиращ се в Русия, за да изтегли изпълним файл от втори етап („3ujwy2rz7v.exe“), който впоследствие се стартира с помощта на Windows Command Prompt.

Изпълнимият файл, от своя страна, се свързва с домейн за управление и контрол (C2) и ексфилтрира чувствителна информация от хоста. Той също така е способен да преброява процеси и системи.

„TrueBot може да бъде особено неприятна инфекция за всяка мрежа“, казва Карлайл. „Когато дадена организация е заразена с този зловреден софтуер, той може бързо да ескалира и да се превърне в по-голяма инфекция, подобно на начина, по който ransomware се разпространява в мрежата.“

Констатациите идват в момент, когато SonicWall подробно описа нов вариант на друг зловреден софтуер за изтегляне, известен като GuLoader (известен още като CloudEyE), който се използва за доставяне на широк спектър от зловреден софтуер, като Agent Tesla, Azorult и Remcos.

„В последния вариант на GuLoader се въвеждат нови начини за предизвикване на изключения, които възпрепятстват цялостния процес на анализ и изпълнението му в контролирана среда“, заяви SonicWall.

Източник: The Hacker News

Подобни публикации

Zoomcar потвърди изтичането на данните на 8,4 м...

Zoomcar, платформа за споделяне на автомобили с дейност на нововъзн...
17 юни 2025

Microsoft потвърди проблем с Outlook при писане...

Microsoft потвърди технически проблем с класическата версия на Outl...
16 юни 2025

Cъвместна операция на правоприлагащи органи пре...

Германската полиция, с подкрепа на Европол и Евроджъст, съвместно с...
16 юни 2025

Microsoft потвърди проблем с DHCP сървъри на Wi...

Microsoft съобщи за нов технически проблем, засягащ сървъри с Windo...
16 юни 2025

OpenAI с голям ъпдейт на ChatGPT Search — по-пр...

На 13 юни 2025 г. OpenAI пусна съществен ъпдейт на ChatGPT Search, ...
16 юни 2025

Grafana — над 46 000 сървъра все още са уязвими

Над 46 000 Grafana сървъри с публичен достъп все още изпълняват неа...
16 юни 2025

WestJet потвърди кибератака, засегнала нейни си...

WestJet, втората по големина авиокомпания на Канада, потвърди, че н...
16 юни 2025

Anubis с нов разрушителен механизъм

Групата Anubis, действаща като платформа „рансъмуер като услуга“ (R...
Бъдете социални
Още по темата
16/06/2025

Хакери използват изтрити и ...

Хакери са открили начин да превземат...
08/06/2025

Опасни npm пакети действат ...

Два зловредни пакета в екосистемата на...
05/06/2025

САЩ обявиха награда от 10 м...

Държавният департамент на САЩ обяви награда...
Последно добавени
17/06/2025

Zoomcar потвърди изтичането...

Zoomcar, платформа за споделяне на автомобили...
17/06/2025

Microsoft потвърди проблем ...

Microsoft потвърди технически проблем с класическата...
16/06/2025

Cъвместна операция на право...

Германската полиция, с подкрепа на Европол...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!