Beryktet Trickbot Trojan er nå i stand til å stjele legitimasjon fra nettlesere også

På litt over to år har Trickbot blitt forvandlet fra en nykommer til et etablert navn i det online trusselandskapet. Av en eller annen grunn fortsetter mange å klassifisere det som en bank-trojan, men de som faktisk har analysert det i detaljer, vet at det er litt mer enn det.

Trickbot er en modulær, meget tilpassbar malware-familie

Først ble analysert i oktober 2016, antas Trickbot å være arbeidet til de samme cyberkriminelle som opprettet Cutwail, Vawtrak og Pushdo. Da den dukket opp på scenen, var det en ganske enkel trussel med et begrenset antall målrettede finansinstitusjoner. En oppdatering kom imidlertid omtrent en måned senere, og eksperter innså raskt at de har et alvorlig stykke malware på hendene. I løpet av få uker etter at den første versjonen ble utgitt, hadde forfatterne av Trickbot allerede klart å inkludere både omdirigering og server-side-injeksjonsmekanismer i trojanen. Trickbot har kanskje ikke vært den første bankeprogramvaren som brukte de to teknikkene, men det var den første som gjorde det så snart etter debuten. Gjengen hadde mer enn noen få andre triks opp ermene.

Selv i den første versjonen så sikkerhetsforskerne at Trickbots design muliggjør enkel tilsetning av moduler som kunne diversifisere kriminelle aktiviteter. Sommeren 2017 implementerte kjeltringene en komponent som stjal innloggingsinformasjon, ikke bare for bankkontoer, men også for styringssystemer for kundeforhold, og kort tid etter la de mange nye oppføringer til listen over målrettede finansinstitusjoner. Trickbot-gjengen trakasserte nå brukere i nærmere tjue land.

I juli 2017 la de til en ormemodul som utnyttet den nå beryktede SMB-protokollen for å spre seg rundt nettverket, og i løpet av de neste månedene eksperimenterte de med noen få forskjellige komponenter som for eksempel en skjermskapsmodul som har Heldigvis forble funksjonshemmet. Nå har vi en ny versjon med enda mer funksjonalitet.

Trickbot skraper data fra nettlesere og andre apper

Forrige måned la forskere fra Trend Micro og Fortinet merke til noen få Trickbot-prøver som flyr rundt.

Som ofte er tilfelle, ble de distribuert ved hjelp av spam-e-poster. For å lokke ofrene til å åpne vedlegget, kalte skurkene filen "Sep_report.xls", og det som fulgte var det typiske "aktiver makroer for å se innhold".

Etter distribusjon lastet koden deretter ned og kjørte Trickbot trojan, men da de tok en nærmere titt, så ekspertene en modul de ikke hadde sett før. Den kom i form av en 1MB-fil kalt "pwgrab32". Navnet gir noe av funksjonaliteten bort - å stjele passord.

Da de så nærmere på den nye modulen, så ekspertene at den kan angripe de fleste store nettlesere. Det stjeler ikke bare påloggingsinformasjon, men også autofyllingsdata (som i moderne nettlesere kan inkludere kredittkortdetaljer og annen sensitiv informasjon) fra Google Chrome, Mozilla Firefox og Internet Explorer. Det var også en mekanisme for å filtrere data fra Microsoft Edge, men det ble deaktivert da Fortinet og Trend Micro så på det. På sin plass hadde forfatterne av Trickbot plassert en komponent som skrapte påloggingsinformasjon fra Microsofts e-postklient, Outlook, samt et par FTP-klienter - FileZilla, og WinSCP.

Vi har diskutert hvorfor det ikke er så bra å lagre innloggingsinformasjon og andre data i nettleseren, og Trickbots nye funksjonalitet illustrerer poenget ganske godt. I årevis har eksperter tatt til orde for bruk av frittstående passordhåndteringsverktøy som Cyclonis Password Manager, og det kan være lurt å begynne å tenke på å følge rådene deres.

Selv med en passordbehandler er Trickbot imidlertid fortsatt en trussel om å bli regnet med, og den nye oppdateringen viser at skurkene ikke har noen intensjon om å trekke seg tilbake den snart.