Liūdnai pagarsėjęs „Trickbot“ trojanas dabar taip pat gali pavogti kredencialus iš interneto naršyklių

Per šiek tiek daugiau nei dvejus metus „Trickbot“ iš naujoko tapo žinomu vardu internetinėje grėsmių aplinkoje. Dėl tam tikrų priežasčių daugelis žmonių ir toliau ją klasifikuoja kaip bankininkystės trojaną, tačiau tie, kurie ją iš tikrųjų išanalizavo, žino, kad tai yra šiek tiek daugiau.

„Trickbot“ yra modulinė, labai lengvai pritaikoma kenkėjiškų programų šeima

Manoma, kad pirmą kartą 2016 m. Spalio mėn. „Trickbot“ buvo tų pačių kibernetinių nusikaltėlių, sukūrusių „Cutwail“, „Vawtrak“ ir „Pushdo“, darbas. Kai jis pasirodė scenoje, tai buvo gana paprasta grėsmė, turinti ribotą skaičių tikslinių finansų institucijų. Tačiau maždaug po mėnesio buvo pristatytas atnaujinimas, ir ekspertai greitai suprato, kad jų rankose yra rimtas kenkėjiškų programų fragmentas. Vos per kelias savaites po pirmosios versijos išleidimo „Trickbot“ autoriai jau sugebėjo į savo trojančius įtraukti ir peradresavimo, ir serverio pusės interneto įpurškimo mechanizmus. „Trickbot“ galbūt nebuvo pirmoji bankininkystės programinė įranga, panaudojusi šiuos du būdus, tačiau ji buvo pirmoji, kuri tai padarė netrukus po debiuto. Gauja turėjo daugiau nei keletą kitų gudrybių savo rankovėmis.

Net pirmoje versijoje saugumo tyrinėtojai pamatė, kad „Trickbot“ dizainas leidžia lengvai pridėti modulių, kurie galėtų paįvairinti jo nusikalstamą veiklą. 2017 m. Vasarą sukčiai įdiegė komponentą, kuris pavogė prisijungimo duomenis ne tik bankinėms, bet ir ryšių su klientais valdymo sistemoms, o netrukus į tikslinių finansinių institucijų sąrašą įtraukė daug naujų įrašų. „Trickbot“ gauja dabar priekabiavo prie vartotojų beveik dvidešimtyje šalių.

2017 m. Liepos mėn. Jie pridėjo sliekų modulį, kuris pasinaudojo šiuo metu liūdnai pagamintu SMB protokolu, kad pasklistų visame tinkle, ir per ateinančius keletą mėnesių eksperimentavo su keliais skirtingais komponentais, pavyzdžiui, ekrano užrakto moduliu, kuris turi laimei liko invalidas. Dabar mes turime naują versiją su dar daugiau funkcijų.

„Trickbot“ nuskaito duomenis iš naršyklių ir kitų programų

Praėjusį mėnesį „ Trend Micro“ ir „ Fortinet“ tyrėjai pastebėjo keletą skraidančių „Trickbot“ pavyzdžių.

Kaip dažnai būna, jie buvo platinami naudojant nepageidaujamus el. Laiškus. Norėdami suvilioti aukas atidaryti priedą, sukčiai pavadino failą „Sep_report.xls“, o paskui buvo būdingas scenarijus „įgalinti makrokomandas peržiūrėti turinį“.

Po platinimo kodas atsisiųstas ir paleistas „Trickbot“ Trojos arklys, tačiau atidžiau įsižiūrėję ekspertai pamatė modulį, kurio dar nebuvo matę. Tai buvo 1 MB failo, vadinamo „pwgrab32“, forma. Jo pavadinimas panaikina kai kuriuos jo funkcionalumus - slaptažodžių vagystė.

Atidžiau pažvelgę į naująjį modulį, ekspertai pamatė, kad jis gali užpulti daugumą pagrindinių naršyklių. Tai vagia ne tik prisijungimo duomenis, bet ir automatinio užpildymo duomenis (kurie šiuolaikinėse naršyklėse gali apimti kredito kortelės duomenis ir kitą neskelbtiną informaciją) iš „Google Chrome“, „Mozilla Firefox“ ir „Internet Explorer“. Taip pat buvo duomenų pašalinimo iš „Microsoft Edge“ mechanizmas, tačiau jis buvo išjungtas, kai „Fortinet“ ir „Trend Micro“ jį apžiūrėjo. Vietoje jo „Trickbot“ autoriai buvo įdėję komponentą, išrašantį prisijungimo duomenis iš „Microsoft“ el. Pašto programos „Outlook“, taip pat pora FTP klientų - „FileZilla“ ir „WinSCP“.

Mes aptarėme, kodėl prisijungimo kredencialų ir kitų duomenų išsaugojimas naršyklėje nėra tokia gera idėja, o naujoji „Trickbot“ funkcija gana gerai iliustruoja šią mintį. Jau daugelį metų ekspertai pasisako už autonominių slaptažodžių tvarkymo priemonių, tokių kaip „Cyclonis Password Manager“, naudojimą, todėl galbūt norėsite pradėti galvoti apie jų patarimus.

Net naudojant slaptažodžių tvarkyklę, vis dėlto „Trickbot“ vis dar kelia grėsmę, su kuria reikia atsižvelgti, ir naujasis atnaujinimas rodo, kad sukčiai neketina jo nutraukti bet kada.