悪名高いTrickbotトロイの木馬は、Webブラウザーからも資格情報を盗むことができるようになりました

2年余りで、Trickbotはオンラインの脅威の世界で新人から定評のある名前に変わりました。なんらかの理由で、多くの人々がそれを銀行のトロイの木馬として分類し続けていますが、実際に詳細に分析した人は、それがそれよりも少し大きいことを知っています。

Trickbotは、モジュール式で高度にカスタマイズ可能なマルウェアファミリです

2016年10月に最初に分析されたTrickbotは、Cutwail、Vawtrak、およびPushdoを作成した同じサイバー犯罪者の作品であると考えられています。それが現場に現れたとき、それは標的金融機関の限られた数のかなり単純な脅威でした。しかし、更新は約1か月後に届き、専門家は深刻なマルウェアが手元にあることにすぐに気付きました。最初のバージョンをリリースしてからわずか数週間で、Trickbotの作成者は、リダイレクトとサーバー側のWebインジェクションメカニズムの両方をトロイの木馬に組み込むことができました。 Trickbotは、2つの手法を使用した最初の銀行マルウェアではなかったかもしれませんが、デビュー後すぐにそれを行った最初のマルウェアです。ギャングは、他のいくつかのトリックよりも多くの策略を持っていました。

最初のバージョンでも、セキュリティ研究者は、Trickbotの設計により、犯罪活動を多様化できるモジュールを簡単に追加できることを確認しました。 2017年の夏、詐欺師は、銀行口座だけでなく、顧客関係管理システムのログイン資格情報も盗むコンポーネントを実装し、その後すぐに、標的の金融機関のリストに多くの新しいエントリを追加しました。 Trickbotギャングは現在、20か国近くのユーザーに嫌がらせを行っていました。

2017年7月に、悪名高いSMBプロトコルを利用してネットワーク全体に拡散するワームモジュールを追加し、今後数か月にわたって、たとえばスクリーンロッカーモジュールなどのいくつかの異なるコンポーネントを試しましたありがたいことに無効のまま。現在、さらに多くの機能を備えた新しいバージョンがあります。

Trickbotはブラウザーやその他のアプリからデータをスクレイピングします

先月、 Trend MicroとFortinetの研究者は、いくつかのTrickbotサンプルが飛び回っていることに気付きました。

よくあることですが、それらはスパムメールの助けを借りて配布されました。被害者に添付ファイルを開かせるために、詐欺師たちはファイルに「Sep_report.xls」という名前を付けました。その後、典型的な「マクロによるコンテンツの表示を有効にする」シナリオが行われました。

配布後、コードはダウンロードしてTrickbotトロイの木馬を実行しましたが、詳しく見ると、専門家はこれまで見たことのないモジュールを見ました。 「pwgrab32」と呼ばれる1MBファイルの形式で提供されました。その名前は、パスワードを盗むという機能の一部を与えます。

新しいモジュールを詳しく調べたところ、専門家はほとんどの主要なブラウザーを攻撃できることを知りました。ログイン資格情報だけでなく、Google Chrome、Mozilla Firefox、およびInternet Explorerからの自動入力データ（最新のブラウザでは、クレジットカードの詳細やその他の機密情報を含めることができます）も盗みます。 Microsoft Edgeからデータを抽出するメカニズムもありましたが、フォーティネットとトレンドマイクロがそれを調べたときに無効にされていました。その代わりに、Trickbotの作成者は、Microsoftの電子メールクライアントであるOutlook、およびいくつかのFTPクライアント（FileZilla、WinSCP）からログイン資格情報をスクレイピングするコンポーネントを配置していました。

ログイン資格情報やその他のデータをブラウザに保存するのはあまり良い考えではない理由について説明しましたが、Trickbotの新しい機能はポイントをかなりよく示しています。長年にわたり、専門家はCyclonis Password Managerのようなスタンドアロンのパスワード管理ツールの使用を提唱してきました。あなたは彼らのアドバイスに留意することを考え始めるかもしれません。

ただし、パスワードマネージャーを使用したとしても、Trickbotは依然として考慮すべき脅威であり、新しい更新プログラムは詐欺師がすぐにそれを廃止する意図がないことを示しています。