Грозный троян TrickBot ушел на покой, его владельцы продались Conti

Грозный троян TrickBot ушел на покой, его владельцы продались Conti

Грозный троян TrickBot ушел на покой, его владельцы продались Conti

Ботоводы TrickBot свернули свои операции, решив присоединиться к криминальному синдикату, во главе которого стоят их прежние партнеры — операторы шифровальщика Conti. Последние перестали использовать трояна-загрузчика, потерявшего былую эффективность, и собираются развивать более перспективный проект, BazarLoader.

Об уходе со сцены ботнета TrickBot интернет-сообщество узнало вчера, 24 февраля, из твита исполнительного директора AdvIntel Виталия Кремеза (Vitali Kremez). Последние два месяца вредоносная сеть никак не проявляла себя; спам, нацеленный на засев лежащего в ее основе Windows-зловреда, исчез, новых С2-серверов тоже не замечено.

В AdvIntel полагают, что за шесть лет существования модульный троян, вначале служивший банкером, а потом загрузчиком других вредоносов, стал слишком узнаваем. Он хорошо детектится, особенности его трафика давно изучены. К тому же TrickBot сильно засветился, когда борцы с ботнетами попытались ликвидировать его инфраструктуру.

Операторы RaaS-сервиса (Ransomware-as-a-Service, вымогатель как услуга) Conti неоднократно пользовались услугами ботоводов TrickBot, предоставлявших готовый доступ к сетям атакованных компаний. После падения основных конкурентов — в первую очередь, REvil — группировка Conti, похоже, решила стать монополистом, объединив под своим крылом множество умелых и опытных участников рынка. До сих пор только Evil Corp могла претендовать на этот титул.

В конце прошлого года стоящие за Conti преступники инициировали возрождение Emotet и тесных связей с его ботоводами. Заручившись поддержкой, гарантирующей вход в корпоративные сети, предприимчивая команда решила подмять и другого давнего партнера — владельца TrickBot, переманив к себе ряд разработчиков и менеджеров. Теперь они, по данным AdvIntel, будут вместе совершенствовать BazarBackdoor, aka BazarLoader, — даунлоудер, заимствующий часть кода TrickBot, но более продвинутый и скрытный.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В WinRAR закрыли уязвимость, позволяющую обойти MotW с помощью симлинка

Опубликованы детали уязвимости в WinRAR, которую разработчик архиватора устранил в конце прошлого месяца. Проблема позволяет обойти защиту Mark-of-the-Web (MotW) и скрытно выполнить вредоносный код в Windows.

Согласно записи на специализированном сайте японской CERT, причиной появления уязвимости CVE-2025-31334 является некорректная обработка символических ссылок (симлинков). При дефолтных настройках Windows создавать их могут только админы.

Подготовив архив с симлинком, указывающим на исполняемый файл, злоумышленник мог разослать его по почте или раздавать с сайта, придумав приманку. В Windows такие загрузки обычно вызывают срабатывание MotW, и юзеру выводится предупреждение о потенциально опасном контенте.

Наличие уязвимости в WinRAR позволяло обойти эту меру защиты: симлинк можно было извлечь, открыть и не увидеть при этом привычного алерта. В итоге автор атаки мог протащить в систему любого зловреда, украсть конфиденциальные данные, обеспечить себе удаленный доступ, изменять и удалять критически важные файлы.

Патч для CVE-2025-31334 включен в состав сборки 7.11, пользователям WinRAR рекомендуется обновить продукт.

Похожую уязвимость в конце прошлого года устранили в 7-Zip.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru