TrickBot-oppdatering indikerer skiftende fokus tilbake til banksvindel

TrickBot er et navn som alle som leser opp om skadelig programvare og sikkerhetsnyheter, må ha kjørt over på et tidspunkt. Det som opprinnelig startet som TrickBot-banktrojanen i 2016 og først og fremst ble brukt til å stjele bank- og kortinformasjon fra ofre, utviklet seg sakte til et multifunksjonelt modulverktøy.

Selv om TrickBot de siste par årene primært ble brukt som et kjøretøy for å levere løsepenger inkludert de beryktede familiene Ryuk og Conti, indikerer den siste oppdateringen at de dårlige skuespillerne bak skadelig programvare ønsker å skjerpe bankbedrageri og tyverifunksjoner igjen, med et mulig fokusskifte tilbake til å stjele legitimasjon.

Sikkerhetsforskere som jobber med Kryptos Logic Threat Intelligence har sett på de nyeste versjonene av TrickBot, og deres funn er spennende. TrickBot legger til legitimasjonstyverismekanismer som ligner på de som finnes i Zeus-banktrojanen, med skadelig programvares evne til å utføre angrep fra mennesker i nettleseren. Dette oppnås ved hjelp av nettinjeksjoner.

Når et offer smittet med den siste versjonen av TrickBot prøver å åpne et legitimt banknettsted, kommer skadedyrets webinjeksjonsmodul inn i bildet. Injiseringen kan være både statisk eller dynamisk, med den statiske versjonen som dirigerer brukeren til et nettsted for hackerkontrollere som etterligner den legitime banktjenesten. Når brukeren oppgir legitimasjonen sin på den falske siden, er det lett å forestille seg hva som skjer videre.

Den dynamiske injeksjonen er mer sofistikert og involverer videresending av serverens respons til kommando- og kontrollserverne til TrickBot, der sidekilden er endret dynamisk. Siden med skadelig programvare returneres til brukerens nettleser, og fungerer som om den ble lastet opp fra det legitime banksiden.

Likheten med Zeus kommer i oppdateringen til webinjeksjonsmodulen, som nå inneholder det forskerne kaller "Zeus-style" -innstillingene for injeksjonskonfigurasjon. Dette gir TrickBot enda en måte å dynamisk endre sider som blir servert til offerets nettleser.

Årsaken til at hackere fremdeles kopierer biter av biter av Zeus, selv om Zeus-trojanen har fått kildekoden lekket i et tiår nå, er at det var toppen av banktrojanere i lang tid, og noen av disse teknikkene, når de ble endret til tilpasser behovene til dagens skadelig programvare, men trekk fremdeles vekten.

Oppsummert påpekte forskere at den nye funksjonaliteten kan indikere at trusselen skuespilleren bak TrickBot kan se på å utvide sin malware-tjenesteplattform og la lisensinnehavere og spirende nye hackere som bruker TrickBot til å skrive sine egne konfigurasjoner og moduler for webinjeksjon.