A TrickBot frissítés azt jelzi, hogy a fókusz visszaáll a banki csalásokra

A TrickBot egy név, amelyet mindenkinek át kell futnia a rosszindulatú programokról és a biztonsági hírekről. Ami eredetileg még 2016-ban TrickBot banki trójai néven indult, és amelyet elsősorban banki és kártyaadatok ellopására használtak fel az áldozatoktól, lassan többcélú moduláris malware eszköztárrá fejlődött.

Annak ellenére, hogy az elmúlt néhány évben a TrickBot-t elsősorban ransomware szállító eszközként használták, beleértve a hírhedt Ryuk és Conti családokat is, a legfrissebb frissítés azt jelzi, hogy a rosszindulatú programok mögött álló rossz szereplők ismét a banki csalásokkal és lopásokkal kapcsolatos képességeiket akarják tovább fokozni, a fókusz esetleges visszahelyezésével a hitelesítő adatok ellopására.

A Kryptos Logic Threat Intelligence munkatársaival dolgozó biztonsági kutatók a TrickBot legújabb verzióit kutatták, és eredményeik érdekesek. A TrickBot olyan hitelesítő adatlopási mechanizmusokat ad hozzá, amelyek hasonlítanak a Zeus banki trójai programban találhatókhoz, és a malware képes végrehajtani a böngészőben lévő ember támadásokat. Ezt webes injekciókkal érik el.

Amikor a TrickBot legújabb verziójával fertőzött áldozat megpróbálja megnyitni a törvényes banki webhelyet, a kártevő webes injekciós modulja játszik szerepet. Az injekció lehet statikus vagy dinamikus, a statikus változat a felhasználót egy hacker-vezérlő webhelyre irányítja, amely utánozza a törvényes banki szolgáltatást. Miután a felhasználó megadta hitelesítő adatait a hamis oldalon, könnyen elképzelhető, mi történik ezután.

A dinamikus injekció kifinomultabb, és magában foglalja a szerver válaszának továbbítását a TrickBot parancs- és vezérlőszervereire, ahol az oldal forrása dinamikusan megváltozik. A rosszindulatú programokkal befűzött oldal ezután visszakerül a felhasználó böngészőjébe, úgy viselkedve, mintha a törvényes banki oldalról lett volna feltöltve.

A hasonlóság a Zeusszal a webinjekciós modul frissítésében rejlik, amely most tartalmazza a kutatók által „Zeus-stílusú” injekciókonfigurációs beállításokat. Ez újabb lehetőséget kínál a TrickBot számára az áldozat böngészőjében kiszolgált oldalak dinamikus megváltoztatására.

Annak ellenére, hogy a hackerek továbbra is lemásolják a Zeusz darabjait, annak ellenére, hogy a Zeus trójai forráskódja már egy évtizede kiszivárog, az az oka, hogy sokáig a banki trójai programok csúcsa volt, és néhány ilyen technika, ha módosították megfeleljen a jelenlegi rosszindulatú programok igényeinek, még mindig húzza meg a súlyát.

Összefoglalva, a kutatók rámutattak arra, hogy az új funkcionalitás jelezheti, hogy a TrickBot mögött álló fenyegetési tényező bővíteni akarja a rosszindulatú programokkal foglalkozó platformját, és lehetővé teszi, hogy a TrickBot-t használó engedélyesek és kezdő új hackerek megírhassák saját webinjekciós konfigurációikat és moduljaikat.