Der berüchtigte Trickbot-Trojaner kann jetzt auch Anmeldeinformationen von Webbrowsern stehlen

Trickbot Streals Passwords From Browsers

In etwas mehr als zwei Jahren hat sich Trickbot von einem Newcomer zu einem etablierten Namen in der Online-Bedrohungslandschaft entwickelt. Aus irgendeinem Grund wird es weiterhin von vielen als Banktrojaner eingestuft, aber diejenigen, die es tatsächlich im Detail analysiert haben, wissen, dass es ein bisschen mehr ist.

Trickbot ist eine modulare, hochgradig anpassbare Malware-Familie

Trickbot wurde erstmals im Oktober 2016 analysiert und soll das Werk derselben Cyberkriminellen sein, die Cutwail, Vawtrak und Pushdo geschaffen haben. Als es auf den Markt kam, war es eine ziemlich einfache Bedrohung mit einer begrenzten Anzahl von Zielfinanzinstituten. Ein Update kam jedoch ungefähr einen Monat später und Experten stellten schnell fest, dass sie ein ernstes Stück Malware in ihren Händen haben. Bereits wenige Wochen nach der Veröffentlichung der ersten Version war es den Autoren von Trickbot gelungen, sowohl Weiterleitungs- als auch serverseitige Webinjektionsmechanismen in ihren Trojaner aufzunehmen. Trickbot war vielleicht nicht die erste Bank-Malware, die diese beiden Techniken einsetzte, aber es war die erste, die dies so bald nach ihrem Debüt tat. Die Bande hatte mehr als ein paar andere Tricks im Ärmel.

Bereits in der ersten Version erkannten die Sicherheitsforscher, dass das Design von Trickbot das einfache Hinzufügen von Modulen ermöglicht, mit denen die kriminellen Aktivitäten diversifiziert werden können. Im Sommer 2017 implementierten die Gauner eine Komponente, die Anmeldeinformationen nicht nur für Bankkonten, sondern auch für Kundenbeziehungsmanagementsysteme stahl. Kurz darauf fügten sie der Liste der Zielfinanzinstitute viele neue Einträge hinzu. Die Trickbot-Bande belästigte jetzt Benutzer in fast zwanzig Ländern.

Im Juli 2017 fügten sie ein Wurmmodul hinzu, das das mittlerweile berüchtigte SMB-Protokoll nutzte, um sich im Netzwerk zu verbreiten, und experimentierten in den nächsten Monaten mit einigen verschiedenen Komponenten, wie beispielsweise einem Screen Locker-Modul Gott sei Dank blieb behindert. Jetzt haben wir eine neue Version mit noch mehr Funktionalität.

Trickbot kratzt Daten von Browsern und anderen Apps

Im vergangenen Monat bemerkten Forscher von Trend Micro und Fortinet einige herumfliegende Trickbot-Proben.

Wie so oft wurden sie mit Hilfe von Spam-E-Mails verbreitet. Um die Opfer zum Öffnen des Anhangs zu locken, nannten die Gauner die Datei "Sep_report.xls", und es folgte das typische Szenario "Makros zum Anzeigen von Inhalten aktivieren".

Nach der Verteilung lud der Code den Trickbot-Trojaner herunter und führte ihn aus. Bei näherem Hinsehen sahen die Experten jedoch ein Modul, das sie zuvor noch nicht gesehen hatten. Es wurde in Form einer 1-MB-Datei mit dem Namen "pwgrab32" erstellt. Sein Name verrät einige seiner Funktionen - das Stehlen von Passwörtern.

Bei näherer Betrachtung des neuen Moduls stellten die Experten fest, dass es die meisten gängigen Browser angreifen kann. Es stiehlt nicht nur Anmeldeinformationen, sondern auch automatisch ausgefüllte Daten (die in modernen Browsern Kreditkartendaten und andere vertrauliche Informationen enthalten können) von Google Chrome, Mozilla Firefox und Internet Explorer. Es gab auch einen Mechanismus zum Filtern von Daten aus Microsoft Edge, der jedoch deaktiviert war, als Fortinet und Trend Micro ihn betrachteten. An seiner Stelle hatten die Autoren von Trickbot eine Komponente platziert, die Anmeldeinformationen von Microsofts E-Mail-Client Outlook sowie von einigen FTP-Clients - FileZilla und WinSCP - abräumte.

Wir haben diskutiert, warum das Speichern von Anmeldeinformationen und anderen Daten im Browser keine so gute Idee ist, und die neue Funktionalität von Trickbot verdeutlicht dies recht gut. Seit Jahren befürworten Experten die Verwendung eigenständiger Kennwortverwaltungstools wie Cyclonis Password Manager , und Sie möchten möglicherweise überlegen, ob Sie deren Rat befolgen sollten.

Selbst mit einem Passwort-Manager ist Trickbot immer noch eine Bedrohung, und das neue Update zeigt, dass die Gauner nicht die Absicht haben, ihn bald zurückzuziehen.

October 9, 2019

Cyclonis Backup

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.