A hírhedt Trickbot trójai most már képes böngészőktől is hitelesítő adatokat ellopni

Alig több mint két év alatt a Trickbot újonnan bekerült névre vált az online fenyegetési környezetben. Bizonyos okok miatt sokan továbbra is banki trójaiként sorolják be, de azok, akik valóban részletesebben elemezték, tudják, hogy ez egy kicsit több.

A Trickbot egy moduláris, nagymértékben testreszabható malware-család

Először 2016 októberében elemezték azt a véleményt, hogy a Trickbot ugyanazon számítógépes bűnözők munkája, akik a Cutwail, a Vawtrak és a Pushdo készítették. Amikor a helyszínre került, meglehetősen egyszerű fenyegetés volt, korlátozott számú célzott pénzügyi intézménnyel. Körülbelül egy hónappal később érkezett frissítés, és a szakértők gyorsan rájöttek, hogy komoly darab rosszindulatú programok vannak a kezükben. Az első verzió kiadásától számított néhány hét alatt a Trickbot szerzői már sikerült beépíteni az átirányítást és a szerveroldali webinjekciós mechanizmusokat is trójaiba. Lehet, hogy a Trickbot nem volt az első banki kártevő szoftver, amely a két technikát alkalmazta, ám ez volt az első, aki hamarosan debütálása után csinálta ezt. A bandanak több, mint néhány más trükkö is volt az ujjain.

A biztonsági kutatók még az első verzióban is láthatták, hogy a Trickbot kialakítása lehetővé teszi a modulok könnyű kiegészítését, amelyek diverzifikálhatják bűncselekményét. 2017 nyarán a bűnözők bevezettek egy olyan összetevőt, amely nemcsak a bankszámlákra, hanem az ügyfélkapcsolat-kezelő rendszerekre is ellopta a bejelentkezési hitelesítő adatokat, és nem sokkal ezután sok új bejegyzést adtak a célzott pénzügyi intézmények listájához. A Trickbot banda most már közel húsz országban zaklatta a felhasználókat.

2017 júliusában hozzáadtak egy féregmodult, amely kihasználta a most hírhedt SMB protokollt, hogy elterjedjen a hálózaton, és az elkövetkező néhány hónapban néhány különféle komponenssel kísérleteztek, például egy képernyőzár-modullal, amely szerencsére fogyatékkal maradt. Most van egy új verzió, még több funkcionalitással.

A Trickbot lekaparja az adatokat a böngészőkből és más alkalmazásokból

A múlt hónapban a Trend Micro és a Fortinet kutatói észrevettek néhány Trickbot-mintát repültek körül.

Mint gyakran fordul elő, spam e-mailek segítségével terjesztették őket. Annak érdekében, hogy rávegyék az áldozatokat a melléklet megnyitására, a csalók a "Sep_report.xls" fájlt nevezték el, és az azt követõ tipikus "makrók engedélyezése a tartalom megtekintéséhez" forgatókönyv volt.

A terjesztés után a kód letöltötte és elindította a Trickbot trójai, de amikor közelebbről megvizsgálták, a szakértők olyan modult láttak, amelyet még nem láttak. 1 MB méretű fájl, "pwgrab32" néven. A neve funkcionalitásának némelyikét elválasztja - ellopja a jelszavakat.

Amikor közelebbről megvizsgálták az új modult, a szakértők meglátták, hogy ez támadhatja meg a legtöbb nagy böngészőt. Nemcsak a bejelentkezési hitelesítő adatokat, hanem az automatikus kitöltési adatokat (amelyek a modern böngészőkben tartalmazhatnak hitelkártya-adatokat és egyéb érzékeny információkat is) ellopja a Google Chrome, a Mozilla Firefox és az Internet Explorer alkalmazásból. Volt egy mechanizmus az adatok kiszűrésére a Microsoft Edge-ből, de letiltották, amikor a Fortinet és a Trend Micro megnézte. A helyére a Trickbot szerzői a Microsoft e-mail klienséből, az Outlookból, valamint egy pár FTP-ügyfélből - a FileZilla és a WinSCP - összegyűjtött bejelentkezési hitelesítő adatokat tartalmaztak.

Megvitatták azt, hogy miért nem olyan jó ötlet a bejelentkezési adatok és más adatok mentése a böngészőben, és a Trickbot új funkcionalitása meglehetősen jól illusztrálja a dolgot. A szakértők évek óta támogatják az önálló jelszókezelő eszközöket, például a Cyclonis Password Manager használatát, és érdemes lehet gondolkodni a tanácsuk meghallgatásán.

Még a jelszókezelőnél is a Trickbotot továbbra is fenyegetik, hogy számolni kell, és az új frissítés azt mutatja, hogy a bűnözőknek nem áll szándékukban hamarosan visszavonni azt.