Ο διαβόητος Trickbot Trojan είναι πλέον ικανός να κλέβει διαπιστευτήρια από προγράμματα περιήγησης στο Web

Σε λίγο πάνω από δύο χρόνια, το Trickbot έχει μετατραπεί από έναν νεοφερμένο σε ένα καθιερωμένο όνομα στο online απειλητικό τοπίο. Για κάποιο λόγο, πολλοί άνθρωποι εξακολουθούν να το ταξινομούν ως τραπεζικό δούρειο trojan, αλλά όσοι το έχουν αναλύσει λεπτομερώς γνωρίζουν ότι είναι κάτι περισσότερο από αυτό.

Το Trickbot είναι μια αρθρωτή οικογένεια malware με δυνατότητα προσαρμογής

Αναλύθηκε για πρώτη φορά τον Οκτώβριο του 2016, το Trickbot θεωρείται έργο των ίδιων εγκληματιών του κυβερνοχώρου που δημιούργησαν το Cutwail, το Vawtrak και το Pushdo. Όταν εμφανίστηκε στη σκηνή, ήταν μια αρκετά απλή απειλή με περιορισμένο αριθμό στοχοθετημένων χρηματοπιστωτικών ιδρυμάτων. Μια ενημέρωση έφτασε περίπου ένα μήνα αργότερα, ωστόσο, και οι ειδικοί γρήγορα συνειδητοποίησαν ότι έχουν ένα σοβαρό κομμάτι malware στα χέρια τους. Μέσα σε λίγες μόνο εβδομάδες από την απελευθέρωση της πρώτης έκδοσης, οι συγγραφείς του Trickbot είχαν ήδη καταφέρει να συμπεριλάβουν τους μηχανισμούς έγχυσης ιστού ανακατεύθυνσης και διακομιστή στο trojan τους. Το Trickbot ίσως να μην ήταν το πρώτο τραπεζικό κακόβουλο λογισμικό που χρησιμοποίησε τις δύο τεχνικές, αλλά ήταν το πρώτο που το έκανε τόσο σύντομα μετά το ντεμπούτο του. Η συμμορία είχε περισσότερα από λίγα άλλα κόλπα επάνω στα μανίκια τους.

Ακόμη και στην πρώτη έκδοση, οι ερευνητές της ασφάλειας διαπίστωσαν ότι ο σχεδιασμός του Trickbot επιτρέπει την εύκολη προσθήκη μονάδων που θα μπορούσαν να διαφοροποιήσουν τις εγκληματικές δραστηριότητες του. Το καλοκαίρι του 2017, οι απατεώνες εφάρμοσαν ένα στοιχείο που έκλεψε τα διαπιστευτήρια σύνδεσης όχι μόνο για τραπεζικούς λογαριασμούς, αλλά και για συστήματα διαχείρισης πελατειακών σχέσεων, και λίγο αργότερα πρόσθεσαν πολλές νέες καταχωρίσεις στον κατάλογο των στοχοθετημένων χρηματοπιστωτικών ιδρυμάτων. Η συμμορία Trickbot παρενοχλούσε τώρα χρήστες σε σχεδόν είκοσι χώρες.

Τον Ιούλιο του 2017, πρόσθεσαν μια μονάδα σκουλήκις που εκμεταλλεύτηκε το τώρα κακόφημο πρωτόκολλο SMB για να εξαπλωθεί γύρω από το δίκτυο και μέσα στους επόμενους μήνες πειραματίστηκαν με μερικά διαφορετικά στοιχεία, όπως για παράδειγμα μια ηλεκτρονική θυρίδα οθόνης ευτυχώς παρέμεινε με ειδικές ανάγκες. Τώρα, έχουμε μια νέα έκδοση με ακόμα περισσότερες λειτουργίες.

Το Trickbot αποκόπτει τα δεδομένα από προγράμματα περιήγησης και άλλες εφαρμογές

Τον περασμένο μήνα, οι ερευνητές από την Trend Micro και το Fortinet παρατήρησαν μερικά δείγματα Trickbot που πετούν γύρω.

Όπως συμβαίνει συχνά, διανεμήθηκαν με τη βοήθεια μηνυμάτων ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας. Για να προσελκύσουν τα θύματα να ανοίξουν το συνημμένο, οι απατεώνες με το όνομα "Sep_report.xls", και τι ακολουθήθηκε ήταν το τυπικό σενάριο "ενεργοποιήστε τις μακροεντολές για προβολή περιεχομένου".

Μετά τη διανομή, ο κώδικας στη συνέχεια κατέβηκε και έτρεξε το Trickbot trojan, αλλά όταν έβλεπαν πιο προσεκτικά, οι ειδικοί είδαν ένα module που δεν είχαν ξαναδεί. Ήρθε με τη μορφή ενός αρχείου 1MB που ονομάζεται "pwgrab32". Το όνομά του δίνει κάποιες λειτουργίες μακριά - κλέβοντας τους κωδικούς πρόσβασης.

Όταν εξέτασαν προσεκτικά τη νέα ενότητα, οι ειδικοί είδαν ότι μπορούν να επιτεθούν σε περισσότερα από τα μεγάλα προγράμματα περιήγησης. Κλέβει όχι μόνο τα διαπιστευτήρια σύνδεσης, αλλά και τα δεδομένα αυτόματης συμπλήρωσης (τα οποία στα σύγχρονα προγράμματα περιήγησης μπορούν να περιλαμβάνουν στοιχεία πιστωτικών καρτών και άλλες ευαίσθητες πληροφορίες) από το Google Chrome, το Mozilla Firefox και τον Internet Explorer. Υπήρξε επίσης ένας μηχανισμός για την απομάκρυνση δεδομένων από το Microsoft Edge, αλλά ήταν απενεργοποιημένος όταν το αξιολόγησαν οι Fortinet και Trend Micro. Στη θέση του, οι συγγραφείς του Trickbot είχαν τοποθετήσει ένα στοιχείο που απομάκρυνε τα διαπιστευτήρια σύνδεσης από το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου της Microsoft, το Outlook, καθώς και από δύο πελάτες FTP - FileZilla και WinSCP.

Έχουμε συζητήσει γιατί η αποθήκευση των διαπιστευτηρίων σύνδεσης και άλλων δεδομένων στο πρόγραμμα περιήγησης δεν είναι τόσο καλή ιδέα και η νέα λειτουργικότητα του Trickbot δείχνει το σημείο αρκετά καλά. Για χρόνια, οι ειδικοί έχουν υποστηρίξει τη χρήση αυτόνομων εργαλείων διαχείρισης κωδικών πρόσβασης όπως το Cyclonis Password Manager και ίσως θελήσετε να αρχίσετε να σκέφτεστε να παρακολουθήσετε τις συμβουλές τους.

Ακόμα και με έναν διαχειριστή κωδικών πρόσβασης, ωστόσο, το Trickbot εξακολουθεί να αποτελεί απειλή που πρέπει να ληφθεί υπόψη και η νέα ενημέρωση δείχνει ότι οι απατεώνες δεν έχουν καμία πρόθεση να συνταξιοδοτηθούν σύντομα.