TrickBot-opdatering angiver skiftende fokus tilbage til banksvindel

TrickBot er et navn, som enhver, der læser op om malware og sikkerhedsnyheder, skal have kørt på et eller andet tidspunkt. Hvad der oprindeligt startede som TrickBot-banktrojanen i 2016 og primært blev brugt til at stjæle bank- og kortoplysninger fra ofre, udviklede sig langsomt til et multifunktionelt modulært malware-værktøjssæt.

Selvom TrickBot i de sidste par år primært blev brugt som et køretøj til at levere ransomware inklusive de berygtede Ryuk- og Conti-familier, indikerer dens seneste opdatering, at de dårlige aktører bag malware ser ud til at skærpe sin banksvindel og tyverifunktioner igen, med et muligt skift af fokus tilbage til at stjæle legitimationsoplysninger.

Sikkerhedsforskere, der arbejder med Kryptos Logic Threat Intelligence, har undersøgt de nyeste versioner af TrickBot, og deres fund er spændende. TrickBot tilføjer legitimationstyverimekanismer, der ligner dem, der findes i Zeus-bank-trojanen, med malwareens evne til at udføre man-in-browser-angreb. Dette opnås ved hjælp af webinjektioner.

Når et offer, der er inficeret med den nyeste version af TrickBot, forsøger at åbne et legitimt bankwebsted, kommer malwareens webinjektionsmodul i spil. Injektionen kan være både statisk eller dynamisk, idet den statiske version dirigerer brugeren til et hacker-controller-websted, der efterligner den legitime banktjeneste. Når brugeren indtaster deres legitimationsoplysninger på den falske side, er det let at forestille sig, hvad der sker næste.

Den dynamiske indsprøjtning er mere sofistikeret og involveret i at videresende serverens svar til TrickBots kommando- og kontrolservere, hvor sidekilden ændres dynamisk. Siden med malware-snoet returneres derefter til brugerens browser og fungerer som om den blev indlæst fra det legitime bankside.

Ligheden med Zeus kommer i opdateringen til webindsprøjtningsmodulet, som nu indeholder, hvad forskere kalder "Zeus-stil" -konfigurationsindstillinger for injektion. Dette giver TrickBot endnu en måde til dynamisk at ændre sider, der serveres til offerets browser.

Årsagen til, at hackere stadig kopierer stykker af Zeus, selvom Zeus-trojanen har fået sin kildekode lækket i et årti nu, er at det var toppen af banktrojanere i lang tid, og nogle af disse teknikker, når de blev ændret til passer til behovene i nutidens malware, trækker stadig deres vægt.

Sammenfattende påpegede forskere, at den nye funktionalitet kan indikere, at trusselsaktøren bag TrickBot måske ønsker at udvide deres malware-serviceplatform og tillade licenshavere og spirende nye hackere, der bruger TrickBot til at skrive deres egne konfigurationer og moduler til webinjektion.