Der berüchtigte Trickbot-Trojaner kann jetzt auch Anmeldeinformationen von Webbrowsern stehlen

Trickbot Streals Passwords From Browsers

In etwas mehr als zwei Jahren hat sich Trickbot von einem Newcomer zu einem etablierten Namen in der Online-Bedrohungslandschaft entwickelt. Aus irgendeinem Grund wird es weiterhin von vielen als Banktrojaner eingestuft, aber diejenigen, die es tatsächlich im Detail analysiert haben, wissen, dass es ein bisschen mehr ist.

Trickbot ist eine modulare, hochgradig anpassbare Malware-Familie

Trickbot wurde erstmals im Oktober 2016 analysiert und soll das Werk derselben Cyberkriminellen sein, die Cutwail, Vawtrak und Pushdo geschaffen haben. Als es auf den Markt kam, war es eine ziemlich einfache Bedrohung mit einer begrenzten Anzahl von Zielfinanzinstituten. Ein Update kam jedoch ungefähr einen Monat später und Experten stellten schnell fest, dass sie ein ernstes Stück Malware in ihren Händen haben. Bereits wenige Wochen nach der Veröffentlichung der ersten Version war es den Autoren von Trickbot gelungen, sowohl Weiterleitungs- als auch serverseitige Webinjektionsmechanismen in ihren Trojaner aufzunehmen. Trickbot war vielleicht nicht die erste Bank-Malware, die diese beiden Techniken einsetzte, aber es war die erste, die dies so bald nach ihrem Debüt tat. Die Bande hatte mehr als ein paar andere Tricks im Ärmel.

Bereits in der ersten Version erkannten die Sicherheitsforscher, dass das Design von Trickbot das einfache Hinzufügen von Modulen ermöglicht, mit denen die kriminellen Aktivitäten diversifiziert werden können. Im Sommer 2017 implementierten die Gauner eine Komponente, die Anmeldeinformationen nicht nur für Bankkonten, sondern auch für Kundenbeziehungsmanagementsysteme stahl. Kurz darauf fügten sie der Liste der Zielfinanzinstitute viele neue Einträge hinzu. Die Trickbot-Bande belästigte jetzt Benutzer in fast zwanzig Ländern.

Im Juli 2017 fügten sie ein Wurmmodul hinzu, das das mittlerweile berüchtigte SMB-Protokoll nutzte, um sich im Netzwerk zu verbreiten, und experimentierten in den nächsten Monaten mit einigen verschiedenen Komponenten, wie beispielsweise einem Screen Locker-Modul Gott sei Dank blieb behindert. Jetzt haben wir eine neue Version mit noch mehr Funktionalität.

Trickbot kratzt Daten von Browsern und anderen Apps

Im vergangenen Monat bemerkten Forscher von Trend Micro und Fortinet einige herumfliegende Trickbot-Proben.

Wie so oft wurden sie mit Hilfe von Spam-E-Mails verbreitet. Um die Opfer zum Öffnen des Anhangs zu locken, nannten die Gauner die Datei "Sep_report.xls", und es folgte das typische Szenario "Makros zum Anzeigen von Inhalten aktivieren".

Nach der Verteilung lud der Code den Trickbot-Trojaner herunter und führte ihn aus. Bei näherem Hinsehen sahen die Experten jedoch ein Modul, das sie zuvor noch nicht gesehen hatten. Es wurde in Form einer 1-MB-Datei mit dem Namen "pwgrab32" erstellt. Sein Name verrät einige seiner Funktionen - das Stehlen von Passwörtern.

Bei näherer Betrachtung des neuen Moduls stellten die Experten fest, dass es die meisten gängigen Browser angreifen kann. Es stiehlt nicht nur Anmeldeinformationen, sondern auch automatisch ausgefüllte Daten (die in modernen Browsern Kreditkartendaten und andere vertrauliche Informationen enthalten können) von Google Chrome, Mozilla Firefox und Internet Explorer. Es gab auch einen Mechanismus zum Filtern von Daten aus Microsoft Edge, der jedoch deaktiviert war, als Fortinet und Trend Micro ihn betrachteten. An seiner Stelle hatten die Autoren von Trickbot eine Komponente platziert, die Anmeldeinformationen von Microsofts E-Mail-Client Outlook sowie von einigen FTP-Clients - FileZilla und WinSCP - abräumte.

Wir haben diskutiert, warum das Speichern von Anmeldeinformationen und anderen Daten im Browser keine so gute Idee ist, und die neue Funktionalität von Trickbot verdeutlicht dies recht gut. Seit Jahren befürworten Experten die Verwendung eigenständiger Kennwortverwaltungstools wie Cyclonis Password Manager , und Sie möchten möglicherweise überlegen, ob Sie deren Rat befolgen sollten.

Selbst mit einem Passwort-Manager ist Trickbot immer noch eine Bedrohung, und das neue Update zeigt, dass die Gauner nicht die Absicht haben, ihn bald zurückzuziehen.

Bis Duran
October 9, 2019
Trojan
Deutsch
October 9, 2019
Trojan

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 5 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.