Atualização do TrickBot indica mudança de foco de volta para fraude bancária

TrickBot é um nome que qualquer pessoa que lê sobre malware e notícias de segurança deve ter encontrado em algum momento. O que originalmente começou como o trojan bancário TrickBot em 2016 e era usado principalmente para roubar informações bancárias e de cartão das vítimas, aos poucos evoluiu para um kit de ferramentas de malware modular multiuso.

Mesmo que nos últimos dois anos o TrickBot tenha sido usado principalmente como um veículo para entregar ransomware incluindo as famigeradas famílias Ryuk e Conti, sua atualização mais recente indica que os malfeitores por trás do malware estão procurando aprimorar suas capacidades de fraude e roubo bancário mais uma vez com uma possível mudança de foco de volta ao roubo de credenciais.

Os pesquisadores de segurança que trabalham com a Kryptos Logic Threat Intelligence têm pesquisado as versões mais recentes do TrickBot e suas descobertas são intrigantes. O TrickBot está adicionando mecanismos de roubo de credenciais que se assemelham aos encontrados no trojan bancário Zeus, com a capacidade do malware de executar ataques man-in-the-browser. Isso é obtido usando injeções de teia.

Quando uma vítima infectada com a versão mais recente do TrickBot tenta abrir um site bancário legítimo, o módulo de injeção na web do malware entra em ação. A injeção pode ser estática ou dinâmica, com a versão estática direcionando o usuário a um site de controlador de hacker que imita o serviço bancário legítimo. Depois que o usuário insere suas credenciais na página falsa, é fácil imaginar o que acontece a seguir.

A injeção dinâmica é mais sofisticada e envolve o encaminhamento da resposta do servidor aos servidores de comando e controle do TrickBot, onde a fonte da página é alterada dinamicamente. A página com malware é então retornada ao navegador do usuário, agindo como se tivesse sido carregada de um site bancário legítimo.

A semelhança com o Zeus está na atualização do módulo de injeção na web, que agora contém o que os pesquisadores chamam de configurações de injeção no "estilo Zeus". Isso dá ao TrickBot mais uma maneira de alterar dinamicamente as páginas servidas ao navegador da vítima.

A razão pela qual os hackers ainda copiam pedaços do Zeus, embora o trojan Zeus tenha seu código-fonte vazado por uma década, é que ele foi o auge dos trojans bancários por um longo tempo e algumas dessas técnicas, quando modificadas para atender às necessidades do malware dos dias atuais, mas ainda assim.

Em resumo, os pesquisadores apontaram que a nova funcionalidade pode indicar que o ator de ameaça por trás do TrickBot pode estar procurando expandir sua plataforma de serviço de malware e permitir que licenciados e novos hackers que usam o TrickBot escrevam suas próprias configurações e módulos de injeção na web.