Хеш / ИнформацияЗначение
SHA256bbe239ed1acde94f1d9b3e2f64e11505038983fea781351bf4a0e6af53f92b33
MD5d7b1bdd1880da09cc9a4550053972dc4
SHA14f93211b90e952732715f73297fc3892b3c3c923
ImpHash50610e34092d6ce13e51e7c9d5197081
Файл Adibbe239ed1acde94f1d9b3e2f64e11505038983fea781351bf4a0e6af53f92b33
Тип файлаexe
Размер249,831 bytes
Первое обнаружение2022-08-12

Tehdit Значениеlendirmesi

Bu ornek, hedef sisteme ek zararlı yazılım yuklemek amacıyla tasarlanmis moduler bir yukleyici (loader) olarak tespit edilmistir. Bankacılık trojanları, fidye yazılımları veya diger ikinci asama yukler indirebilmektedir.

Обнаруженные возможности

  • Payload Indirme
  • Surec Enjeksiyonu
  • Kalicilik
  • Anti-Analiz
  • Sifrelenmis Iletisim

Метки MalwareBazaar

exepaloaltonetworks thailandsysnc-sytes-netsysteminfothai-gotdns-chTrickBot

Примечание к анализу

Bu ornek TrickBot ailesine ait ve MalwareBazaar platformundan alınmıstır. KEYDAL Guvenlik Arastirmaları tarafından metadata analizi gerceklestirilmis ve IOC veritabanına eklenmistir.

TrickBot — Профиль вредоносного ПО

TrickBot modular banking trojan. DGA filename. WTSSetUserConfigW RDP targeting. RegUnLoadKeyA registry hive dump.

Тип вредоносного ПО
Botnet
Язык программирования
C++
C2 Протокол
HTTPS
Целевые системы
Windows
Другие названия (AKA)
TrickLoader

Технические детали

TrickBot is a modular banking trojan and loader developed by WIZARD SPIDER since 2016. Evolved from Dyre banking trojan with modular architecture allowing plugin-based functionality. Modules: pwgrab (credential theft), networkdll (network reconnaissance), shareDll (SMB spread), tabDll (browser form grabbing), vncDll (remote access), mworm/nworm (propagation). Used extensively to deliver Ryuk and Conti ransomware. C2 communication: HTTPS with custom User-Agent strings. Infrastructure disrupted by Microsoft/ESET/Symantec/CISA in October 2020. Key operators arrested/sanctioned; infrastructure rebuilt multiple times. Shifted focus from banking to enterprise ransomware delivery (2019-2022).

Атрибуция / Актор угрозы

WIZARD SPIDER, Dyre successor

Возможности и поведение

DDoS Saldırısı
Botnet Genişletme
Brute Force Taran
Payload Dağıtımı
Uzaktan Komut
Ağ Tarama
Kimlik Bilgisi Çalma
IoT Cihaz Kontrolü

Список IOC (2 индикаторов)

IOC — TrickBot
# SHA256 bbe239ed1acde94f1d9b3e2f64e11505038983fea781351bf4a0e6af53f92b33 # MD5 d7b1bdd1880da09cc9a4550053972dc4
ТипЗначениеПримечание
sha256 bbe239ed1acde94f1d9b3e2f64e11505038983fea781351bf4a0e6af53f92b33
md5 d7b1bdd1880da09cc9a4550053972dc4

C2 Серверы (7 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
176.111.174.70 ip 443 HTTPS inactive RU
45.156.25.1 ip 443 HTTPS sinkholed RU
185.234.218.151 ip 443 HTTPS sinkholed RU
82.117.252.143 ip 449 HTTPS sinkholed DE
45.147.231.250 ip 443 HTTPS sinkholed NL
31.214.157.14 ip 443 HTTPS sinkholed UA
185.234.219.77 ip 449 HTTPS sinkholed RU

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
exepaloaltonetworks thailandsysnc-sytes-netsysteminfothai-gotdns-chTrickBot