Trickbot Malware har nye tricks op i sin ærme: Coronavirus-tema-prøver Fool Security Products og Target Telecommunication Company

Tilbage i 2016 startede Trickbot sit liv som en ydmyg bank-trojan, men det blev hurtigt tydeligt, at det var meget mere end det. Lige nu, tæt på fire år senere, er det sandsynligvis sikkert at sige, at det er den mest anvendte malware-familie i verden, og der er intet, der tyder på, at cyberkriminelle snart vil vende sig væk fra det.

Dens vigtigste appel ligger i dens alsidighed, der kommer fra dens modulopbyggede design. Malware-skabere kan udvikle og tilføje plugins og let få trojanen til at udføre en lang række opgaver. I mellemtiden kan Trickbot med et par justeringer blive stealthier og ekstremt vanskeligt at fjerne. Nylige prøver opdaget af sikkerhedsforskere viser, hvorfor cyberkriminelle elsker det så meget.

Trickbot-prøver bruger panikken omkring coronavirus-udbruddet til at undgå sikkerhedsløsninger

Trickbot, som mange andre malware-familier, bruger den aktuelle coronavirus-pandemi i sine kampagner. I modsætning til andre bander bruger Trickbot-operatørerne imidlertid ikke udbruddet til at narre ofre til at åbne en fil eller klikke på et link. Denne gang spiller coronavirus en rolle i at narre computeren.

Ifølge sikkerhedsnyhedswebstedet Bleeping Computer foretog kriminelle for nylig ændringer til malware's crypter - et program designet til at kryptere eksekverbarens kode og få det til at virke legitimt. Forskere gennemgik de nye filers egenskaber og fandt ud af, at strenge fra Coronavirus-nyhedsrapporter blev placeret i felter som "Filbeskrivelse", "Produktnavn" og "Copyright".

Dette ligner et underligt træk. Når alt kommer til alt er den triste sandhed, at regelmæssige brugere usandsynligt vil undersøge en ukendt fil i så mange detaljer, før de lanceres, og selvom de gjorde det, er der en god chance for, at de vil blive forvirrede af en side med egenskaber, der ser sådan ud. Der er dog metode bag alt dette.

Vitali Kremez fra SentinelLabs fortalte Bleeping Computer, at det højst sandsynligt er en teknik til undgåelse af detektering. Tilsyneladende har Trickbot-operatører brugt det i fortiden, og det ser ud til at være særlig effektivt mod sikkerhedsløsninger, der er afhængige af kunstig intelligens og maskinlæring.

Disse nye tilføjelser antyder, at Trickbots operatører er fast besluttet på at med succes kompromittere deres mål. Dette understøttes for øvrig også af ikke-relateret forskning udført af Bitdefender tidligere denne måned.

Trickbot angriber mål gennem RDP

Bitdefenders forskere overvågede Trickbots opførsel, da de i slutningen af januar bemærkede, at skurkerne pressede en opdatering. Der var en ny model, som eksperterne ikke havde set før. Nogle af funktionaliteterne fungerede ikke korrekt, hvilket viste, at opdateringen stadig var et igangværende arbejde, men trods dette lykkedes det at give eksperter en idé om, hvad skurkenes fremtidige planer kunne være.

Det nye modul sammen med en konfigurationsfil downloades fra en af de mange tilgængelige Command & Control (C&C) servere efter en vellykket infektion. Trickbot modtager en liste over mål, og dets første opgave er at se, om de har deres RDP-tjenester (Remote Desktop Protocol) aktiveret. Hvis et mål har en åben RDP, sendes dens navn tilbage til C&C via en POST-anmodning. Serveren reagerer med en samling af brugernavne og adgangskoder, som Trickbot bruger til at forsøge at brute-force sin vej ind og kompromittere den målrettede organisation.

Det er vanskeligt at sige, om det nye modul er blevet brugt i naturen endnu. Baseret på listen over mål, som Bitdefenders forsker så, kunne det imidlertid snart løsnes mod teleselskaber i USA og Hong Kong. Skurkerne kunne også sætte deres syn på virksomheder i den finansielle sektor samt organisationer, der beskæftiger sig med uddannelse og videnskabelig forskning.

De to nye tilføjelser repræsenterer det seneste i en meget lang række opdateringer, som Trickbots operatører har tilføjet deres malware. Vi kan kun gætte, hvilken retning trojanen vil tage næste gang, men vi kan være temmelig sikre på, at det forbliver en favorit hos cyberkriminelle.