TrickBotの更新は、焦点を銀行詐欺に戻すことを示しています

TrickBotは、マルウェアやセキュリティのニュースを読んだ人なら誰でも、ある時点で出くわしたに違いない名前です。もともとは2016年にTrickBotバンキング型トロイの木馬として始まり、主に被害者からバンキングとカード情報を盗むために使用されていましたが、徐々に多目的のモジュラーマルウェアツールキットに進化しました。

過去数年間、TrickBotは主に、悪名高いRyukおよびContiファミリーを含むランサムウェアを配信する手段として使用されていましたが、最新のアップデートでは、マルウェアの背後にいる悪意のある人物が銀行詐欺や盗難の機能を再び強化しようとしていることが示されています。資格情報の盗用に焦点が戻る可能性があります。

Kryptos Logic Threat Intelligenceを使用しているセキュリティ研究者は、TrickBotの最新バージョンを調査しており、その調査結果は興味深いものです。 TrickBotは、Zeusバンキング型トロイの木馬に見られるものに似たクレデンシャル盗難メカニズムを追加しており、マルウェアがマンインザブラウザ攻撃を実行する機能を備えています。これは、ウェブインジェクションを使用して実現されます。

最新バージョンのTrickBotに感染した被害者が、正規の銀行Webサイトを開こうとすると、マルウェアのWebインジェクションモジュールが機能します。インジェクションは静的または動的の両方で行うことができ、静的バージョンでは、正規の銀行サービスを模倣したハッカーコントローラーのWebサイトにユーザーをルーティングします。ユーザーが偽のページに自分の資格情報を入力すると、次に何が起こるかを想像するのは簡単です。

動的インジェクションはより洗練されており、サーバーの応答をTrickBotのコマンドアンドコントロールサーバーに転送する必要があります。TrickBotでは、ページソースが動的に変更されます。マルウェアが混入したページは、正規の銀行サイトから読み込まれたかのように、ユーザーのブラウザに返されます。

Zeusとの類似点は、Webインジェクトモジュールのアップデートにあります。このモジュールには、研究者が「Zeusスタイル」のインジェクション構成設定と呼ぶものが含まれています。これにより、TrickBotは、被害者のブラウザに提供されるページを動的に変更するさらに別の方法を提供します。

Zeusトロイの木馬のソースコードが10年前から漏洩しているにもかかわらず、ハッカーがまだZeusの断片をコピーしている理由は、それが長い間銀行のトロイの木馬の頂点であり、これらの手法のいくつかを次のように変更した場合です。現在のマルウェアのニーズに適合し、それでもその重みを引き出します。

要約すると、研究者は、新しい機能は、TrickBotの背後にいる脅威アクターがマルウェアサービスプラットフォームを拡張し、TrickBotを使用するライセンシーや新進の新しいハッカーが独自のWebインジェクション構成とモジュールを作成できるようにする可能性があることを示している可能性があると指摘しました。