Зловредният софтуер TrickBot е забелязан да използва текст от статии за импийчмънта на президента Тръмп за заобикаляне на сканиращите двигатели на софтуера за сигурност.
Преди да разпространяват злонамерен софтуер, разработчиците обикновено използват криптер, за да криптират или затъмняват кода на злонамерения софтуер, за да го направят FUD (Full UnDetectable) от антивирусен софтуер.
Една често срещана техника, използвана от крипторите, е да вземат безобиден текст от книги или новинарски статии и да го инжектират в зловредния софтуер с надеждата, че тези низове ще бъдат включени в белия списък от софтуера за сигурност.
Тази техника беше открита от изследователи в миналото, като тя им позволи да заобиколят двигателя за сканиране, задвижван от AI на Cylance, като добавят низове от изпълнимия Rocket League към зловреден софтуер.
Изглежда, че троянският вирус използва подобен байпас, използвайки текст от статии в популярни новинарски сайтове.
Опити за защита на „софтуера на Тръмп“
В два нови образеца на TrickBot, открити от Витали Кремез и изследователската група по сигурността MalwareHunterTeam, разработчиците на зловреден софтуер вкарват текст от статия за импийчмента на президента Тръмп в злонамерения софтуер.
„Антивирусните двигатели заобикалят фокуса върху добавянето и добавянето на известни низове от„ добър софтуер “към двоични файлове, за да се заобиколят статичните машини за машинно обучение, както подобен е открит и използван от модела на двигателя на Cylance“, каза Кремез в разговор. „Известните низове за добър софтуер може да включват заглавия на новини като широко разпространени новинарски истории за импийчмънта на Тръмп, смесени с действителните и псевдо-реални приложения, които се добавят към злонамерените двоични файлове от механизма за създаване на злонамерен софтуер.“
Първата извадка използва текст от историята на импийчмента в Independent.co.uk и го добавя като част от информацията за изпълнимия файл.
Вторият семпъл използва текст, изваден от статия на CNN за импийчмънта на Тръмп и го добавя като персонализирани маркери за данни exif.
Не е 100% ясно дали този текст позволява да се заобикалят антивирусни двигатели или дали други промени са причината, но когато за първи път са изпратени във VirusTotal, семпъл 1 е открит само от 11 продукти за сигурност от общо 80, а семпъл 2 е открит само от 3 от 70 ,
„Този криптор на TrickBot и свързаната с него група за киберпрестъпления инвестират значителни ресурси, за да се уверят, че изучават и разбират модела за откриване на вируси, за да изпреварят играта“, обясни Кремез. “Като цяло играта между криптерите и вендорите на обикновен антивирусен софтуер продължава да бъде от типа ” котка и мишка “с TrickBot и други топ престъпни групи, които се опитват да избегнат антивирусни модели и отбрана и откриване, като се опитват да наваксат.”
Той също така илюстрира как нападателите използват текущи събития при разпространението на своя зловреден софтуер. Друг пример, показан днес, е скорошна кампания за спам Emotet, която се преструва, че е информация за коронавируса.
Източник: По материали от интернет