Niesławny trojan Trickbot jest teraz zdolny do kradzieży poświadczeń z przeglądarek internetowych

W ciągu nieco ponad dwóch lat Trickbot został przekształcony z nowego gracza w ugruntowaną nazwę w środowisku zagrożeń internetowych. Z jakiegoś powodu wiele osób nadal klasyfikuje go jako trojana bankowego, ale ci, którzy go szczegółowo przeanalizowali, wiedzą, że to coś więcej.

Trickbot to modułowa, wysoce konfigurowalna rodzina szkodliwego oprogramowania

Po raz pierwszy przeanalizowany w październiku 2016 roku, Trickbot jest uważany za dzieło tych samych cyberprzestępców, którzy stworzyli Cutwail, Vawtrak i Pushdo. Kiedy pojawił się na scenie, był dość prostym zagrożeniem z ograniczoną liczbą ukierunkowanych instytucji finansowych. Aktualizacja pojawiła się jednak około miesiąc później, a eksperci szybko zdali sobie sprawę, że mają poważny kawałek złośliwego oprogramowania. W ciągu zaledwie tygodni od wydania pierwszej wersji autorom Trickbota udało się już włączyć do swojego trojana zarówno mechanizmy przekierowywania, jak i wstrzykiwania stron po stronie serwera. Trickbot mógł nie być pierwszym bankowym szkodliwym oprogramowaniem, które skorzystało z tych dwóch technik, ale był pierwszym, który zrobił to wkrótce po swoim debiucie. Gang miał w rękawach więcej niż kilka innych sztuczek.

Nawet w pierwszej wersji badacze bezpieczeństwa zauważyli, że konstrukcja Trickbota umożliwia łatwe dodawanie modułów, które mogą urozmaicić jego przestępczą działalność. Latem 2017 r. Oszuści wdrożyli komponent, który ukradł dane logowania nie tylko dla kont bankowych, ale także dla systemów zarządzania relacjami z klientami, a wkrótce potem dodali wiele nowych wpisów do listy docelowych instytucji finansowych. Gang Trickbot nękał teraz użytkowników w blisko dwudziestu krajach.

W lipcu 2017 r. Dodali moduł robaka, który wykorzystał niesławny protokół SMB do rozprzestrzeniania się po sieci, aw ciągu następnych kilku miesięcy eksperymentowali z kilkoma różnymi komponentami, takimi jak na przykład moduł blokady ekranu, który ma na szczęście pozostał niepełnosprawny. Teraz mamy nową wersję z jeszcze większą funkcjonalnością.

Trickbot usuwa dane z przeglądarek i innych aplikacji

W zeszłym miesiącu badacze z Trend Micro i Fortinet zauważyli kilka latających próbek Trickbota.

Jak to często bywa, były one dystrybuowane za pomocą wiadomości spamowych. Aby zachęcić ofiary do otwarcia załącznika, oszuści nazwali plik „Sep_report.xls”, a następnie typowy scenariusz „włącz makra do przeglądania treści”.

Po dystrybucji kod następnie pobrał i uruchomił trojana Trickbot, ale gdy przyjrzeli się bliżej, eksperci zobaczyli moduł, którego wcześniej nie widzieli. Przyszedł w postaci pliku 1 MB o nazwie „pwgrab32”. Jego nazwa zdradza niektóre jego funkcje - kradzież haseł.

Gdy przyjrzeli się bliżej nowemu modułowi, eksperci zauważyli, że może on atakować większość głównych przeglądarek. Kradnie nie tylko dane logowania, ale także dane autouzupełniania (które w nowoczesnych przeglądarkach mogą zawierać dane karty kredytowej i inne poufne informacje) z Google Chrome, Mozilla Firefox i Internet Explorer. Istniał również mechanizm wyodrębniania danych z Microsoft Edge, ale został wyłączony, gdy Fortinet i Trend Micro spojrzały na to. Na jego miejscu autorzy Trickbota umieścili komponent zgarniający dane logowania z klienta pocztowego Microsoft, Outlook, a także kilku klientów FTP - FileZilla i WinSCP.

Omówiliśmy, dlaczego zapisywanie danych logowania i innych danych w przeglądarce nie jest tak dobrym pomysłem, a nowa funkcjonalność Trickbota dość dobrze ilustruje tę kwestię. Od lat eksperci zalecają stosowanie samodzielnych narzędzi do zarządzania hasłami, takich jak Cyclonis Password Manager, i możesz zacząć myśleć o ich radach.

Jednak nawet z menedżerem haseł Trickbot nadal stanowi zagrożenie, z którym należy się liczyć, a nowa aktualizacja pokazuje, że oszuści nie zamierzają wycofywać go w najbliższym czasie.