Berygtet Trickbot Trojan er nu i stand til at stjæle legitimationsoplysninger fra webbrowsere også

På lidt over to år er Trickbot blevet omdannet fra en nykommer til et etableret navn i det online trusselandskab. Af en eller anden grund fortsætter mange mennesker med at klassificere det som en bank-trojan, men de, der faktisk har analyseret det i detaljer, ved, at det er lidt mere end det.

Trickbot er en modulopbygget, meget tilpasselig malware-familie

Først analyseret i oktober 2016 menes Trickbot at være værket af de samme cyberkriminelle, der skabte Cutwail, Vawtrak og Pushdo. Da det dukkede op på scenen, var det en ret simpel trussel med et begrænset antal målrettede finansielle institutioner. En opdatering kom imidlertid omkring en måned senere, og eksperter indså hurtigt, at de har et alvorligt stykke malware på deres hænder. Inden for få uger efter frigivelse af den første version havde Trickbots forfattere allerede formået at inkludere både omdirigering og server-side-injektionsmekanismer i deres trojan. Trickbot var måske ikke den første bank malware, der brugte de to teknikker, men det var den første, der gjorde det så kort efter sin debut. Banden havde mere end et par andre tricks på ærmerne.

Selv i den første version så sikkerhedsforskerne, at Trickbots design muliggør let tilføjelse af moduler, der kunne diversificere dens kriminelle aktiviteter. I sommeren 2017 implementerede skurkerne en komponent, der stjal loginoplysninger ikke kun for bankkonti, men også til kundeforholdsstyringssystemer, og kort efter føjede de mange nye poster til listen over målrettede finansielle institutioner. Trickbot-banden trakasserede nu brugere i næsten tyve lande.

I juli 2017 tilføjede de et ormemodul, der udnyttede den nu berygtede SMB-protokol til at sprede sig rundt om netværket, og i løbet af de næste par måneder eksperimenterede de med et par forskellige komponenter som f.eks. Et skærmboksmodul, der har Heldigvis forblev deaktiveret. Nu har vi en ny version med endnu mere funktionalitet.

Trickbot skraber data fra browsere og andre apps

Sidste måned bemærkede forskere fra Trend Micro og Fortinet et par Trickbot-prøver, der flyver rundt.

Som ofte er tilfældet, blev de distribueret ved hjælp af spam-e-mails. For at lokke ofrene til at åbne vedhæftningen kaldte skurkerne filen "Sep_report.xls", og hvad der fulgte var det typiske "aktiver makroer til at se indhold".

Efter distributionen downloadede og kørte koden derefter Trickbot-trojanen, men da de kiggede nærmere på, så eksperterne et modul, de ikke havde set før. Det kom i form af en 1MB fil kaldet "pwgrab32". Dets navn giver noget af dets funktionalitet væk - stjæle adgangskoder.

Da de kiggede nærmere på det nye modul, så eksperterne, at det kan angribe de fleste større browsere. Det stjæler ikke kun loginoplysninger, men også autofylddata (som i moderne browsere kan inkludere kreditkortoplysninger og andre følsomme oplysninger) fra Google Chrome, Mozilla Firefox og Internet Explorer. Der var også en mekanisme til at udfiltrere data fra Microsoft Edge, men de blev deaktiveret, når Fortinet og Trend Micro kiggede på dem. I stedet for havde Trickbots forfattere anbragt en komponent, der skraber login-legitimationsoplysninger fra Microsofts e-mail-klient, Outlook samt et par FTP-klienter - FileZilla og WinSCP.

Vi har drøftet, hvorfor gemning af loginoplysninger og andre data i browseren ikke er så god idé, og Trickbots nye funktionalitet illustrerer pointen ret godt. I årevis har eksperter fortalet brugen af fristående adgangskodeadministrationsværktøjer som Cyclonis Password Manager, og du vil måske begynde at tænke på at følge deres råd.

Selv med en passwordadministrator er Trickbot imidlertid stadig en trussel der skal regnes med, og den nye opdatering viser, at skurkerne ikke har nogen hensigt om at trække det tilbage snart.