L'aggiornamento di TrickBot indica lo spostamento dell'attenzione sulla frode bancaria

TrickBot è un nome che chiunque legga su malware e notizie sulla sicurezza deve aver incontrato prima o poi. Quello che originariamente è iniziato come il trojan bancario TrickBot nel 2016 ed è stato utilizzato principalmente per rubare informazioni bancarie e delle carte dalle vittime, si è lentamente evoluto in un toolkit malware modulare multiuso.

Anche se negli ultimi due anni TrickBot è stato utilizzato principalmente come veicolo per distribuire ransomware comprese le famigerate famiglie Ryuk e Conti, il suo ultimo aggiornamento indica che i cattivi attori dietro il malware stanno cercando di affinare ancora una volta le sue capacità di frode bancaria e furto, con un possibile spostamento dell'attenzione sul furto di credenziali.

I ricercatori di sicurezza che lavorano con Kryptos Logic Threat Intelligence hanno esaminato le versioni più recenti di TrickBot e le loro scoperte sono intriganti. TrickBot sta aggiungendo meccanismi di furto di credenziali simili a quelli trovati nel trojan bancario Zeus, con la capacità del malware di eseguire attacchi man-in-the-browser. Ciò si ottiene utilizzando le web injection.

Quando una vittima infettata dall'ultima versione di TrickBot tenta di aprire un sito Web bancario legittimo, entra in gioco il modulo di iniezione Web del malware. L'iniezione può essere sia statica che dinamica, con la versione statica che indirizza l'utente a un sito Web di un hacker che imita il servizio bancario legittimo. Una volta che l'utente inserisce le proprie credenziali nella pagina falsa, è facile immaginare cosa succede dopo.

L'iniezione dinamica è più sofisticata e implica l'inoltro della risposta del server ai server di comando e controllo di TrickBot, dove l'origine della pagina viene modificata dinamicamente. La pagina contenente malware viene quindi restituita al browser dell'utente, comportandosi come se fosse stata caricata dal sito bancario legittimo.

La somiglianza con Zeus arriva nell'aggiornamento al modulo di iniezione web, che ora contiene quelle che i ricercatori chiamano impostazioni di configurazione di iniezione "stile Zeus". Questo offre a TrickBot un altro modo per alterare dinamicamente le pagine servite al browser della vittima.

Il motivo per cui gli hacker continuano a copiare frammenti di Zeus, anche se il codice sorgente di Zeus è trapelato da un decennio, è che è stato l'apice dei trojan bancari per molto tempo e alcune di quelle tecniche, quando modificate per soddisfare le esigenze del malware odierno, continuando a esercitare il proprio peso.

In sintesi, i ricercatori hanno sottolineato che la nuova funzionalità potrebbe indicare che l'attore delle minacce dietro TrickBot potrebbe voler espandere la propria piattaforma di servizi malware e consentire ai licenziatari e ai nuovi hacker in erba che utilizzano TrickBot di scrivere le proprie configurazioni e moduli di web injection.