TrickBot-update geeft aan dat de focus teruggaat naar bankfraude

TrickBot is een naam die iedereen die malware- en beveiligingsnieuws leest, op een bepaald moment moet zijn tegengekomen. Wat oorspronkelijk begon als de TrickBot banking trojan in 2016 en voornamelijk werd gebruikt om bank- en kaartinformatie van slachtoffers te stelen, evolueerde langzaam naar een multifunctionele modulaire malware-toolkit.

Hoewel TrickBot de afgelopen jaren voornamelijk werd gebruikt als een middel om ransomware te leveren, waaronder de beruchte Ryuk- en Conti-families, geeft de laatste update aan dat de kwaadwillenden achter de malware hun bankfraude- en diefstalmogelijkheden opnieuw willen aanscherpen, met een mogelijke verschuiving van de focus terug naar het stelen van inloggegevens.

Beveiligingsonderzoekers die met Kryptos Logic Threat Intelligence werken, hebben de nieuwste versies van TrickBot onderzocht en hun bevindingen zijn intrigerend. TrickBot voegt mechanismen voor diefstal van inloggegevens toe die lijken op die van de Zeus banking-trojan, met het vermogen van de malware om man-in-the-browser-aanvallen uit te voeren. Dit wordt bereikt door middel van webinjecties.

Wanneer een slachtoffer dat is geïnfecteerd met de nieuwste versie van TrickBot, probeert een legitieme bankwebsite te openen, komt de webinjectiemodule van de malware in het spel. De injectie kan zowel statisch als dynamisch zijn, waarbij de statische versie de gebruiker naar een hacker-controller-website leidt die de legitieme bankservice nabootst. Zodra de gebruiker zijn inloggegevens op de neppagina invoert, is het gemakkelijk voor te stellen wat er vervolgens gebeurt.

De dynamische injectie is geavanceerder en omvat het doorsturen van het antwoord van de server naar de commando- en controleservers van TrickBot, waar de paginabron dynamisch wordt gewijzigd. De pagina vol malware wordt vervolgens teruggestuurd naar de browser van de gebruiker, alsof deze is geladen vanaf de legitieme banksite.

De overeenkomst met Zeus komt in de update van de webinject-module, die nu bevat wat onderzoekers "Zeus-stijl" injectieconfiguratie-instellingen noemen. Dit geeft TrickBot nog een andere manier om pagina's die aan de browser van het slachtoffer worden aangeboden, dynamisch te wijzigen.

De reden waarom hackers nog steeds stukjes en beetjes van Zeus kopiëren, hoewel de broncode van de Zeus-trojan al tien jaar gelekt is, is dat het lange tijd het toppunt was van bancaire trojaanse paarden en dat sommige van die technieken, wanneer ze werden aangepast om voldoen aan de behoeften van hedendaagse malware, maar nog steeds hun gewicht behouden.

Samenvattend wezen onderzoekers erop dat de nieuwe functionaliteit erop kan wijzen dat de dreigingsactor achter TrickBot mogelijk op zoek is naar uitbreiding van hun malwareserviceplatform en licentiehouders en beginnende nieuwe hackers die TrickBot gebruiken toe te staan hun eigen webinjectieconfiguraties en -modules te schrijven.