حسابات VPN المستهدفة من قبل البرامج الضارة الجديدة ، حذر الباحثون مستخدمي VPN من التحقق من الحماية الأمنية بعد اكتشاف حسابات جديدة تستهدف البرامج الضارة.
Trickbot عبارة عن برامج ضارة نموذجية تم رصدها لأول مرة في عام 2016، وهي تسرق معلومات النظام وبيانات اعتماد
تسجيل الدخول وغيرها من البيانات الحساسة من أجهزة Windows المعرضة للخطر.
ومع ذلك في نوفمبر بدأ باحثو الأمن من Palo Alto Networks في رؤية مؤشرات على أن وحدة انتزاع كلمة مرور Trickbots قد
بدأت باستهداف البيانات من تطبيقات OpenSSH و OpenVPN.
عند إصابة مضيف Windows بـ Trickbot، يقوم بتنزيل وحدات مختلفة لأداء وظائف مختلفة، يتم تخزين الوحدات النمطية
نفسها باعتبارها ثنائيات مشفرة في مجلد موجود في دليل AppData \ Roaming للنظام المصاب ثم يتم فك تشفيرها كملفات DLL التي تعمل من ذاكرة النظام.
Pwgrab64 هو أداة التقاط كلمة المرور التي يستخدمها Trickbot وتسترد هذه الوحدة بيانات اعتماد تسجيل الدخول المخزنة
في ذاكرة التخزين المؤقت لمتصفح الضحية ، لكن يمكنها أيضاً الحصول على بيانات اعتماد تسجيل الدخول من التطبيقات الأخرى المثبتة على مضيف الضحية.
استهداف OpenSSH و OpenVPN
كانت أنماط حركة المرور الناتجة عن إصابات Trickbot الأخيرة متسقة إلى حد ما حتى نوفمبر عندما بدأت
Palo Alto Networks في رؤية طلبين HTTP POST جديدين لمفاتيح OpenSSH الخاصة وكلمات مرور OpenVPN والتكوينات
الناتجة عن أداة كلمة مرور البرامج الضارة.
لحسن الحظ قد لا تعمل هذه التحديثات لوحدة أداة كلمة مرور Trickbot بشكل كامل حتى الآن، لأن الباحثين لم يروا أي
بيانات فعلية من OpenVPN المضمنة في حركة المرور القادمة من البرامج الضارة. قاموا أيضاً بإعداد إصابات Trickbot في
بيئات المختبر حيث لم تتضمن طلبات HTTP POST التي تم إنشاؤها بواسطة أداة انتقاء كلمة المرور الخاصة بـ OpenSSH و OpenVPN أي بيانات.
ومع ذلك ، فإن أداة كلمة مرور Trickbot تعمل بالفعل وستحصل على كلمات مرور SSH ومفاتيح خاصة من عميل
SSH / Telnet المسمى PuTTY.
تُظهر أنماط حركة المرور المحدّثة التي اكتشفتها شبكة Palo Alto Networks أن Trickbot يواصل تطوره، ولكن
يمكن للمستخدمين تجنب الوقوع ضحية لهذه البرامج الضارة عن طريق تشغيل إصدارات محدثة بالكامل من
Microsoft Windows.
