TrickBot僵尸网络发现部署了一个名为Diavol的新勒索软件

根据最新研究，臭名昭著的TrickBot恶意软件背后的威胁因素与一种名为“Diavol”的新勒索软件有关。

Fortinet公司FortiGuard实验室的研究人员上周表示，本月早些时候，Diavol和Conti勒索软件的有效载荷被部署在不同的系统上，这起针对其一名客户的攻击未获成功。

TrickBot是2016年首次检测到的银行特洛伊木马，传统上是一种基于Windows的犯罪软件解决方案，使用不同的模块在目标网络上执行广泛的恶意活动，包括凭证盗窃和勒索软件攻击。

尽管执法部门努力压制机器人网络，但不断演变的恶意软件已被证明是一种具有弹性的威胁，总部位于俄罗斯的运营商—；被称为“巫师蜘蛛”—；快速调整新工具以执行进一步的攻击。

据说Diavol在迄今为止的一次事故中被部署在野外。入侵的来源目前尚不清楚。不过，有一点是明确的，即有效载荷的源代码与Conti的源代码有相似之处，尽管已经发现它的赎金说明重用了Egregor勒索软件中的一些语言。

“作为一个相当独特的加密过程的一部分，Diavol使用用户模式异步过程调用（APC）进行操作，而不使用对称加密算法，”研究人员说。“通常，勒索软件作者的目标是在最短的时间内完成加密操作。不对称加密算法不是明显的选择，因为它们比对称算法慢得多。”

勒索软件的另一个突出特点是，它依赖反分析技术，以位图图像的形式混淆其代码，在位图图像中，例程被加载到具有执行权限的缓冲区中。

在锁定文件和使用赎金消息更改桌面墙纸之前，Diavol执行的一些主要功能包括向远程服务器注册受害设备、终止正在运行的进程、在系统中查找要加密的本地驱动器和文件，以及通过删除卷影副本来防止恢复。

正如Kryptos Logic Threat Intelligence团队所详述的那样，Wizard Spider刚刚起步的勒索软件努力也与“TrickBot webinject模块的新发展”相吻合，这表明这个出于财务动机的网络犯罪集团仍在积极重组其恶意软件库。

网络安全研究员马库斯·哈钦斯（Marcus Hutchins）在推特上写道：“TrickBot带回了他们的银行欺诈模块，该模块已经更新，以支持宙斯式的网络注入。”。“这可能表明他们正在恢复银行欺诈操作，并计划扩大对不熟悉其内部webinject格式的人的访问。”