„TrickBot“ atnaujinimas rodo, kad sutelktas dėmesys atgal į bankų sukčiavimą

„TrickBot“ yra vardas, kurį visi, perskaitę kenkėjiškas programas ir saugumo naujienas, tam tikru momentu turi būti perėję. Tai, kas iš pradžių prasidėjo kaip „TrickBot“ bankininkystės Trojanas dar 2016 m. Ir pirmiausia buvo naudojama aukoms pavogti bankų ir kortelių informaciją, pamažu virto daugiafunkciu moduliniu kenkėjiškų programų rinkiniu.

Nors pastaruosius porą metų „TrickBot“ pirmiausia buvo naudojamas kaip priemonė išpirkos programinei įrangai, įskaitant liūdnai pagarsėjusias „Ryuk“ ir „Conti“ šeimas, pristatyti, naujausias jos atnaujinimas rodo, kad kenkėjiškos programinės įrangos blogi veikėjai siekia dar kartą sustiprinti savo bankų sukčiavimo ir vagystės galimybes, galimas dėmesio perkėlimas į įgaliojimų pavogimą.

Saugumo tyrėjai, dirbantys su „Kryptos Logic Threat Intelligence“, nagrinėjo naujausias „TrickBot“ versijas ir jų išvados intriguoja. „TrickBot“ prideda kredencialų vagystės mechanizmus, panašius į tuos, kurie randami Dzeuso bankų trojane, ir kenkėjiškų programų galimybę įvykdyti „naršyklėje“ esančias atakas. Tai pasiekiama naudojant internetines injekcijas.

Kai auka, užsikrėtusi naujausia „TrickBot“ versija, bando atidaryti teisėtą bankininkystės svetainę, pradeda veikti kenkėjiškos programos žiniatinklio injekcijos modulis. Injekcija gali būti tiek statinė, tiek dinamiška, o statinė versija nukreipia vartotoją į įsilaužėlių-valdiklių svetainę, imituojančią teisėtą banko paslaugą. Kai vartotojas įveda savo kredencialus netikrame puslapyje, lengva įsivaizduoti, kas bus toliau.

Dinaminė injekcija yra sudėtingesnė ir susijusi su serverio atsako persiuntimu į „TrickBot“ komandų ir valdymo serverius, kur dinamiškai keičiamas puslapio šaltinis. Tada kenkėjiškų programų pririštas puslapis grąžinamas į vartotojo naršyklę ir veikia taip, lyg jis būtų įkeltas iš teisėtos bankininkystės svetainės.

Panašumas su Dzeusu yra žiniatinklio injekcijos modulio atnaujinime, kuriame dabar yra tai, ką tyrėjai vadina „Dzeuso stiliaus“ injekcijos konfigūracijos nustatymais. Tai suteikia „TrickBot“ dar vieną būdą dinamiškai pakeisti aukos naršyklėje pateiktus puslapius.

Priežastis, kodėl įsilaužėliai vis dar kopijuoja Dzeuso gabalus, nors Dzeuso Trojos arklys šaltinio kodas nutekėjo jau dešimtmetį, yra ta, kad tai ilgą laiką buvo bankų Trojos arklys ir kai kurie iš šių būdų, kai jie buvo pakeisti atitiktų dabartinės dienos kenkėjiškų programų poreikius, vis tiek padidinkite jų svorį.

Apibendrindami mokslininkai atkreipė dėmesį į tai, kad nauja funkcija gali parodyti, jog „TrickBot“ grėsmė gali būti išplėsta kenkėjiškų programų paslaugų platformoje ir leisti licencijos turėtojams bei naujiems įsilaužėliams, kurie naudojasi „TrickBot“, rašyti savo žiniatinklio injekcijos konfigūracijas ir modulius.