La actualización de TrickBot indica un cambio de enfoque hacia el fraude bancario
TrickBot es un nombre que cualquier persona que lea sobre malware y noticias de seguridad debe haber encontrado en algún momento. Lo que originalmente comenzó como el troyano bancario TrickBot en 2016 y se usó principalmente para robar información bancaria y de tarjetas de las víctimas, evolucionó lentamente hasta convertirse en un conjunto de herramientas de malware modular multipropósito.
A pesar de que durante los últimos años, TrickBot se usó principalmente como un vehículo para entregar ransomware, incluidas las infames familias Ryuk y Conti, su última actualización indica que los malos actores detrás del malware están buscando mejorar sus capacidades bancarias de fraude y robo una vez más. con un posible cambio de enfoque hacia el robo de credenciales.
Los investigadores de seguridad que trabajan con Kryptos Logic Threat Intelligence han estado investigando las versiones más recientes de TrickBot y sus hallazgos son intrigantes. TrickBot está agregando mecanismos de robo de credenciales que se asemejan a los que se encuentran en el troyano bancario Zeus, con la capacidad del malware para ejecutar ataques de hombre en el navegador. Esto se logra mediante inyecciones web.
Cuando una víctima infectada con la última versión de TrickBot intenta abrir un sitio web bancario legítimo, entra en juego el módulo de inyección web del malware. La inyección puede ser estática o dinámica, y la versión estática enruta al usuario a un sitio web controlador de piratas informáticos que imita el servicio bancario legítimo. Una vez que el usuario ingresa sus credenciales en la página falsa, es fácil imaginar lo que sucede a continuación.
La inyección dinámica es más sofisticada e implica el reenvío de la respuesta del servidor a los servidores de comando y control de TrickBot, donde la fuente de la página se modifica dinámicamente. Luego, la página con malware se devuelve al navegador del usuario, actuando como si se hubiera cargado desde el sitio bancario legítimo.
La similitud con Zeus viene en la actualización del módulo de inyección web, que ahora contiene lo que los investigadores llaman ajustes de configuración de inyección "estilo Zeus". Esto le da a TrickBot otra forma de alterar dinámicamente las páginas servidas al navegador de la víctima.
La razón por la que los piratas informáticos todavía copian partes y partes de Zeus, a pesar de que el troyano Zeus ha tenido su código fuente filtrado durante una década, es que fue el pináculo de los troyanos bancarios durante mucho tiempo y algunas de esas técnicas, cuando se modificó para satisfacen las necesidades del malware actual, aún ejercen su influencia.
En resumen, los investigadores señalaron que la nueva funcionalidad puede indicar que el actor de amenazas detrás de TrickBot puede estar buscando expandirse en su plataforma de servicio de malware y permitir que los licenciatarios y los nuevos piratas informáticos en ciernes que usan TrickBot escriban sus propias configuraciones y módulos de inyección web.
