TrickBot-Update zeigt, dass sich der Fokus wieder auf Bankbetrug verlagert

TrickBot ist ein Name, der jedem, der sich über Malware- und Sicherheitsnachrichten informiert, irgendwann einmal begegnet sein muss. Was ursprünglich als Banking-Trojaner TrickBot im Jahr 2016 begann und hauptsächlich dazu diente, Bank- und Karteninformationen von Opfern zu stehlen, entwickelte sich langsam zu einem modularen Mehrzweck-Malware-Toolkit.

Obwohl TrickBot in den letzten Jahren hauptsächlich als Vehikel zur Bereitstellung von Ransomware einschließlich der berüchtigten Ryuk- und Conti-Familien verwendet wurde, zeigt das neueste Update, dass die bösartigen Akteure hinter der Malware versuchen, ihre Bankbetrugs- und Diebstahlfunktionen noch einmal zu verbessern. mit einer möglichen Verlagerung des Fokus zurück zum Stehlen von Anmeldeinformationen.

Sicherheitsforscher, die mit Kryptos Logic Threat Intelligence arbeiten, haben sich mit den neuesten Versionen von TrickBot beschäftigt und ihre Ergebnisse sind faszinierend. TrickBot fügt Mechanismen zum Diebstahl von Anmeldeinformationen hinzu, die denen des Banktrojaners Zeus ähneln, mit der Fähigkeit der Malware, Man-in-the-Browser-Angriffe auszuführen. Dies wird durch Web-Injections erreicht.

Wenn ein mit der neuesten Version von TrickBot infiziertes Opfer versucht, eine legitime Banking-Website zu öffnen, kommt das Web-Injection-Modul der Malware ins Spiel. Die Injektion kann sowohl statisch als auch dynamisch erfolgen, wobei die statische Version den Benutzer zu einer Hacker-Controller-Website leitet, die den legitimen Bankdienst nachahmt. Sobald der Benutzer seine Zugangsdaten auf der gefälschten Seite eingibt, kann man sich leicht vorstellen, was als nächstes passiert.

Die dynamische Injektion ist ausgefeilter und beinhaltet die Weiterleitung der Serverantwort an die Befehls- und Kontrollserver von TrickBot, wo die Seitenquelle dynamisch geändert wird. Die mit Malware versehene Seite wird dann an den Browser des Benutzers zurückgegeben und verhält sich so, als ob sie von der legitimen Banking-Site geladen worden wäre.

Die Ähnlichkeit mit Zeus kommt im Update des Web-Inject-Moduls zum Tragen, das jetzt Injektionskonfigurationseinstellungen im "Zeus-Stil" enthält, die Forscher als "Zeus-Style" bezeichnen. Dies gibt TrickBot eine weitere Möglichkeit, Seiten, die dem Browser des Opfers bereitgestellt werden, dynamisch zu ändern.

Der Grund, warum Hacker immer noch Teile von Zeus kopieren, obwohl der Quellcode des Zeus-Trojaners seit einem Jahrzehnt durchgesickert ist, ist, dass er lange Zeit der Gipfel der Banking-Trojaner war und einige dieser Techniken, wenn sie zu . modifiziert wurden auf die Bedürfnisse aktueller Malware zugeschnitten sind, dennoch ihre Gewichte ziehen.

Zusammenfassend wiesen die Forscher darauf hin, dass die neue Funktionalität möglicherweise darauf hindeutet, dass der Bedrohungsakteur hinter TrickBot möglicherweise versucht, seine Malware-Service-Plattform zu erweitern und Lizenznehmern und angehenden neuen Hackern, die TrickBot verwenden, zu ermöglichen, ihre eigenen Web-Injection-Konfigurationen und -Module zu schreiben.