Η ενημέρωση TrickBot υποδηλώνει μετατόπιση της εστίασης στην τραπεζική απάτη

Το TrickBot είναι ένα όνομα που όποιος διαβάζει κακόβουλο λογισμικό και ειδήσεις ασφαλείας πρέπει να είχε συναντήσει κάποια στιγμή. Αυτό που αρχικά ξεκίνησε ως TrickBot banking trojan το 2016 και χρησιμοποιήθηκε κυρίως για την κλοπή τραπεζικών πληροφοριών και καρτών από τα θύματα, εξελίχθηκε αργά σε μια αρθρωτή εργαλειοθήκη πολλαπλών χρήσεων.

Παρόλο που τα τελευταία δύο χρόνια το TrickBot χρησιμοποιήθηκε κυρίως ως όχημα για την παράδοση ransomware, συμπεριλαμβανομένων των διαβόητων οικογενειών Ryuk και Conti, η τελευταία ενημέρωσή του δείχνει ότι οι κακοί ηθοποιοί πίσω από το κακόβουλο λογισμικό προσπαθούν να εντείνουν τις δυνατότητες τραπεζικής απάτης και κλοπής για άλλη μια φορά, με πιθανή μετατόπιση της εστίασης πίσω στην κλοπή διαπιστευτηρίων.

Οι ερευνητές ασφαλείας που συνεργάζονται με την Kryptos Logic Threat Intelligence έχουν εξετάσει τις νεότερες εκδόσεις του TrickBot και τα ευρήματά τους είναι ενδιαφέροντα. Το TrickBot προσθέτει μηχανισμούς κλοπής διαπιστευτηρίων που μοιάζουν με αυτούς που εντοπίζονται στο trojan του τραπεζικού Zeus, με τη δυνατότητα του κακόβουλου λογισμικού να εκτελεί επιθέσεις man-in-the-browser. Αυτό επιτυγχάνεται με τη χρήση εγχύσεων ιστού.

Όταν ένα θύμα που έχει μολυνθεί με την τελευταία έκδοση του TrickBot προσπαθεί να ανοίξει έναν νόμιμο τραπεζικό ιστότοπο, μπαίνει στο παιχνίδι η ηλεκτρονική μονάδα έγχυσης του κακόβουλου λογισμικού. Η ένεση μπορεί να είναι τόσο στατική όσο και δυναμική, με τη στατική έκδοση να κατευθύνει τον χρήστη σε έναν ιστότοπο ελεγκτή χάκερ που μιμείται τη νόμιμη τραπεζική υπηρεσία. Μόλις ο χρήστης εισαγάγει τα διαπιστευτήριά του στην πλαστή σελίδα, είναι εύκολο να φανταστεί κανείς τι θα συμβεί στη συνέχεια.

Η δυναμική έγχυση είναι πιο εξελιγμένη και περιλαμβάνει την προώθηση της απόκρισης του διακομιστή στους διακομιστές εντολών και ελέγχου του TrickBot, όπου η πηγή της σελίδας τροποποιείται δυναμικά. Η σελίδα με κακόβουλο λογισμικό επιστρέφεται στη συνέχεια στο πρόγραμμα περιήγησης του χρήστη, ενεργώντας σαν να φορτώθηκε από τον νόμιμο τραπεζικό ιστότοπο.

Η ομοιότητα με το Zeus έρχεται στην ενημέρωση της ηλεκτρονικής μονάδας έγχυσης, η οποία περιέχει τώρα αυτό που οι ερευνητές αποκαλούν ρυθμίσεις διαμόρφωσης έγχυσης "στυλ Zeus". Αυτό δίνει στο TrickBot έναν ακόμη τρόπο για να αλλάξετε δυναμικά τις σελίδες που προβάλλονται στο πρόγραμμα περιήγησης του θύματος.

Ο λόγος για τον οποίο οι χάκερ εξακολουθούν να αντιγράφουν κομμάτια του Zeus, παρόλο που ο δίαυλος του Δία είχε διαρρεύσει τον πηγαίο κώδικα για μια δεκαετία τώρα, είναι ότι ήταν το αποκορύφωμα των τραπεζικών trojans για μεγάλο χρονικό διάστημα και μερικές από αυτές τις τεχνικές, όταν τροποποιήθηκαν σε ταιριάζει στις ανάγκες του τρέχοντος κακόβουλου λογισμικού, συνεχίστε να τραβάτε το βάρος τους.

Συνοπτικά, οι ερευνητές επεσήμαναν ότι η νέα λειτουργικότητα μπορεί να υποδηλώνει ότι ο παράγοντας απειλής πίσω από το TrickBot μπορεί να προσπαθεί να επεκταθεί στην πλατφόρμα υπηρεσιών κακόβουλου λογισμικού και να επιτρέψει στους κατόχους αδειών και στους νέους χάκερ που χρησιμοποιούν το TrickBot να γράφουν τις δικές τους διαμορφώσεις και λειτουργικές μονάδες έγχυσης ιστού.