Aktualizacja TrickBota wskazuje na przeniesienie uwagi z powrotem na oszustwa bankowe

TrickBot to nazwa, na którą każdy, kto czyta wiadomości o złośliwym oprogramowaniu i bezpieczeństwie, musiał w pewnym momencie natknąć się na to. To, co pierwotnie zaczęło się jako trojan bankowy TrickBot w 2016 roku i było używane głównie do kradzieży informacji bankowych i kart od ofiar, powoli przekształciło się w wielofunkcyjny modułowy zestaw narzędzi do złośliwego oprogramowania.

Mimo że przez ostatnie kilka lat TrickBot był używany głównie jako narzędzie do dostarczania oprogramowania ransomware, w tym niesławnych rodzin Ryuk i Conti, jego najnowsza aktualizacja wskazuje, że źli aktorzy stojący za tym złośliwym oprogramowaniem chcą ponownie zwiększyć możliwości oszustw bankowych i kradzieży. z możliwością ponownego skupienia się na kradzieży danych uwierzytelniających.

Badacze bezpieczeństwa współpracujący z Kryptos Logic Threat Intelligence badali najnowsze wersje TrickBota, a ich odkrycia są intrygujące. TrickBot dodaje mechanizmy kradzieży poświadczeń, które przypominają te znalezione w trojanie bankowym Zeus, z możliwością wykonywania ataków typu man-in-the-browser przez złośliwe oprogramowanie. Osiąga się to za pomocą iniekcji internetowych.

Gdy ofiara zainfekowana najnowszą wersją TrickBota próbuje otworzyć legalną witrynę bankową, do gry wkracza moduł wstrzykiwania sieci złośliwego oprogramowania. Wstrzyknięcie może być zarówno statyczne, jak i dynamiczne, przy czym statyczna wersja przekierowuje użytkownika do witryny hakera-kontrolera, która naśladuje legalną usługę bankową. Gdy użytkownik wprowadzi swoje dane uwierzytelniające na fałszywej stronie, łatwo sobie wyobrazić, co dzieje się dalej.

Wstrzykiwanie dynamiczne jest bardziej wyrafinowane i polega na przekazywaniu odpowiedzi serwera do serwerów dowodzenia i kontroli TrickBota, gdzie źródło strony jest dynamicznie zmieniane. Strona zawierająca szkodliwe oprogramowanie jest następnie zwracana do przeglądarki użytkownika, zachowując się tak, jakby została załadowana z legalnej witryny bankowej.

Podobieństwo do Zeusa pojawia się w aktualizacji modułu web inject, który zawiera teraz to, co naukowcy nazywają ustawieniami konfiguracji wstrzykiwania w stylu Zeusa. Daje to TrickBotowi kolejny sposób dynamicznego modyfikowania stron wyświetlanych przeglądarce ofiary.

Powodem, dla którego hakerzy wciąż kopiują fragmenty Zeusa, mimo że kod źródłowy trojana Zeus wyciekał już od dekady, jest to, że przez długi czas był szczytem trojanów bankowych, a niektóre z tych technik po zmodyfikowaniu do pasują do potrzeb współczesnego złośliwego oprogramowania, ale nadal przyciągają ich uwagę. .

Podsumowując, naukowcy zwrócili uwagę, że nowa funkcjonalność może wskazywać, że podmiot odpowiedzialny za TrickBota może dążyć do rozszerzenia swojej platformy usług złośliwego oprogramowania i umożliwić licencjobiorcom i początkującym hakerom, którzy używają TrickBota, pisanie własnych konfiguracji i modułów wstrzykiwania sieci.