Trickbot Malware har nye triks opp ermet: Coronavirus-tema prøver Fool Security Products og mål telekommunikasjonsselskaper

Tilbake i 2016 startet Trickbot livet som en ydmyk bank-trojan, men det viste seg raskt at det var mye mer enn det. Akkurat nå, nærmere fire år senere, er det sannsynligvis trygt å si at det er den mest brukte malware-familien i verden, og det er ingenting som tyder på at nettkriminelle kommer til å vende seg bort fra den når som helst.

Den viktigste appellen ligger i dens allsidighet, som kommer fra dens modulære design. Malware-skapere kan utvikle og legge til plugins og enkelt få trojanen til å utføre et bredt spekter av oppgaver. I mellomtiden, med noen få justeringer, kan Trickbot bli stealthier og ekstremt vanskelig å fjerne. Nyere prøver oppdaget av sikkerhetsforskere viser hvorfor nettkriminelle elsker det så mye.

Trickbot-prøver bruker panikken rundt koronavirusutbruddet for å unngå sikkerhetsløsninger

Trickbot, som mange andre skadelige skadefamilier, bruker den gjeldende coronavirus-pandemien i kampanjene sine. I motsetning til andre gjenger, bruker Trickbot-operatørene imidlertid ikke utbruddet for å lure ofrene til å åpne en fil eller klikke på en lenke. Denne gangen spiller coronavirus en rolle i å lure datamaskinen.

I følge sikkerhetsnyhetsnettstedet Bleeping Computer gjorde kriminelle nylig endringer i malware's crypter - et program designet for å kryptere kjørbarens kode og få den til å virke legitim. Forskere gikk gjennom egenskapene til de nye filene og fant ut at strenger fra Coronavirus-nyhetsrapporter ble plassert i felt som "Filbeskrivelse", "Produktnavn" og "Copyright."

Dette ser ut som et underlig trekk. Tross alt er den triste sannheten at vanlige brukere sannsynligvis ikke vil undersøke en ukjent fil i så mange detaljer før de lanseres, og selv om de gjorde det, er det en god sjanse for at de blir forvirret av en Properties-side som ser slik ut. Det er imidlertid metode bak alt dette.

Vitali Kremez fra SentinelLabs sa til Bleeping Computer at det mest sannsynlig er en deteksjonsundvikelsesteknikk. Tilsynelatende har Trickbot-operatører brukt det tidligere, og det ser ut til å være spesielt effektivt mot sikkerhetsløsninger som er avhengige av kunstig intelligens og maskinlæring.

Disse nye tilleggene antyder at Trickbots operatører er fast bestemt på å lykkes med deres kompromisser. Dette er forresten også støttet av ikke-relatert forskning utført av Bitdefender tidligere denne måneden.

Trickbot angriper mål gjennom RDP

Bitdefenders forskere overvåket Trickbots oppførsel da de i slutten av januar la merke til at skurkene presset en oppdatering. Det var en ny modell som ekspertene ikke hadde sett før. Noe av funksjonaliteten fungerte ikke riktig, noe som viste at oppdateringen fremdeles var et arbeid, men til tross for dette klarte den å gi eksperter en ide om hva skurkenes fremtidsplaner kunne være.

Den nye modulen, sammen med en konfigurasjonsfil, lastes ned fra en av de mange tilgjengelige Command & Control (C&C) serverne etter en vellykket infeksjon. Trickbot mottar en liste over mål, og den første oppgaven er å se om de har RDP-tjenester (Remote Desktop Protocol) aktivert. Hvis et mål har en åpen RDP, blir navnet sendt tilbake til C & C gjennom en POST-forespørsel. Serveren svarer med en samling brukernavn og passord som Trickbot bruker for å prøve å brute-force sin vei inn og kompromittere den målrettede organisasjonen.

Det er vanskelig å si om den nye modulen har blitt brukt i naturen ennå. Basert på listen over mål som Bitdefenders forsker så, kunne det imidlertid snart slippes løs mot teleselskaper i USA og Hong Kong. Crooks kan også sette sine blikk på selskaper i finanssektoren så vel som organisasjoner som arbeider med utdanning og vitenskapelig forskning.

De to nye tilleggene representerer det siste i en veldig lang rekke oppdateringer som Trickbots operatører har lagt til skadelig programvare. Vi kan bare gjette hvilken retning trojanen kommer til å ta neste gang, men vi kan være ganske sikre på at det vil forbli en favoritt hos nettkriminelle.