През май 2023 г. се наблюдава рязко повишаване на активността на TrueBot, разкриват изследователи в областта на киберсигурността.

„TrueBot е ботнет с троянски коне за изтегляне, който използва сървъри за командване и контрол, за да събира информация за компрометирани системи и да използва тази компрометирана система като отправна точка за по-нататъшни атаки“, заяви Фей Карлайл от VMware.

Активен поне от 2017 г., TrueBot е свързан с група, известна като Silence, за която се смята, че има общи припокривания с известния руски киберпрестъпник, известен като Evil Corp.

Последните инфекции с TrueBot са използвали критичен недостатък в Netwrix auditor (CVE-2022-31199, CVSS оценка: 9,8), както и Raspberry Robin като вектори за доставка.

Веригата от атаки, документирана от VMware, от друга страна, започва с drive-by-download на изпълним файл с име „update.exe“ от Google Chrome, което предполага, че потребителите са подмамени да изтеглят зловредния софтуер под претекст за софтуерна актуализация.

След като бъде стартиран, update.exe установява връзки с известен IP адрес на TrueBot, намиращ се в Русия, за да изтегли изпълним файл от втори етап („3ujwy2rz7v.exe“), който впоследствие се стартира с помощта на Windows Command Prompt.

Изпълнимият файл, от своя страна, се свързва с домейн за управление и контрол (C2) и ексфилтрира чувствителна информация от хоста. Той също така е способен да преброява процеси и системи.

„TrueBot може да бъде особено неприятна инфекция за всяка мрежа“, казва Карлайл. „Когато дадена организация е заразена с този зловреден софтуер, той може бързо да ескалира и да се превърне в по-голяма инфекция, подобно на начина, по който ransomware се разпространява в мрежата.“

Констатациите идват в момент, когато SonicWall подробно описа нов вариант на друг зловреден софтуер за изтегляне, известен като GuLoader (известен още като CloudEyE), който се използва за доставяне на широк спектър от зловреден софтуер, като Agent Tesla, Azorult и Remcos.

„В последния вариант на GuLoader се въвеждат нови начини за предизвикване на изключения, които възпрепятстват цялостния процес на анализ и изпълнението му в контролирана среда“, заяви SonicWall.

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
Бъдете социални
Още по темата
13/01/2025

Infostealer се маскира като...

3аплахите разпространяват зловреден софтуер за кражба...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
18/11/2024

Фалшиви реклами на Bitwarde...

Фалшиви реклами на мениджъра на пароли...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!