Печально известный троянец Trickbot теперь также может похищать учетные данные из веб-браузеров

Trickbot Streals Passwords From Browsers

За два с небольшим года Trickbot превратился из новичка в авторитетное имя в онлайн-среде угроз. По некоторым причинам, многие продолжают классифицировать его как банковский троян, но те, кто на самом деле детально проанализировал его, знают, что это немного больше.

Trickbot - это модульное семейство вредоносных программ с широкими возможностями настройки

Первый анализ, проведенный в октябре 2016 года, считается работой тех же киберпреступников, которые создали Cutwail, Vawtrak и Pushdo. Когда это появилось на месте, это была довольно простая угроза с ограниченным числом целевых финансовых учреждений. Однако примерно через месяц появилось обновление, и эксперты быстро поняли, что у них в руках серьезная вредоносная программа. Всего за несколько недель после выпуска первой версии авторам Trickbot уже удалось включить в свой троян механизмы перенаправления и веб-инъекции на стороне сервера. Trickbot, возможно, не был первым банковским вредоносным программным обеспечением, использовавшим эти две технологии, но он был первым, кто сделал это вскоре после своего дебюта. У банды было еще несколько хитростей в рукавах.

Даже в первой версии исследователи безопасности увидели, что дизайн Trickbot позволяет легко добавлять модули, которые могут разнообразить его преступную деятельность. Летом 2017 года мошенники внедрили компонент, который украл учетные данные для входа не только для банковских счетов, но и для систем управления взаимоотношениями с клиентами, а вскоре после этого они добавили много новых записей в список целевых финансовых учреждений. Банда Trickbot теперь преследует пользователей почти в двадцати странах.

В июле 2017 года они добавили модуль-червь, который воспользовался пресловутым протоколом SMB для распространения по сети, и в течение следующих нескольких месяцев они экспериментировали с несколькими различными компонентами, такими как, например, модуль блокировки экрана, который имеет К счастью, остался инвалидом. Теперь у нас есть новая версия с еще большей функциональностью.

Trickbot очищает данные от браузеров и других приложений

В прошлом месяце исследователи из Trend Micro и Fortinet заметили несколько пролетов Trickbot.

Как это часто бывает, они распространялись с помощью спам-писем. Чтобы привлечь жертв к открытию вложения, мошенники назвали файл «Sep_report.xls», а затем последовал типичный сценарий «включения макросов для просмотра содержимого».

После распространения код затем загрузил и запустил троян Trickbot, но когда они присмотрелись, эксперты увидели модуль, которого раньше не видели. Он пришел в виде файла размером 1 МБ, который называется «pwgrab32». Его имя дает некоторые его функциональные возможности - кража паролей.

Когда они внимательно посмотрели на новый модуль, эксперты увидели, что он может атаковать большинство основных браузеров. Он крадет не только учетные данные для входа, но и данные автозаполнения (которые в современных браузерах могут включать данные кредитной карты и другую конфиденциальную информацию) из Google Chrome, Mozilla Firefox и Internet Explorer. Был также механизм для эксфильтрации данных из Microsoft Edge, но он был отключен, когда Fortinet и Trend Micro смотрели на него. Вместо этого авторы Trickbot разместили компонент, собирающий учетные данные для входа из почтового клиента Microsoft, Outlook, а также нескольких FTP-клиентов - FileZilla и WinSCP.

Мы обсудили, почему сохранение учетных данных для входа в систему и других данных в браузере не очень хорошая идея, и новая функциональность Trickbot довольно хорошо иллюстрирует это. В течение многих лет эксперты выступали за использование автономных инструментов управления паролями, таких как Cyclonis Password Manager, и вы можете подумать о том, чтобы прислушиваться к их советам.

Однако даже с менеджером паролей Trickbot по-прежнему является угрозой, с которой приходится считаться, и новое обновление показывает, что мошенники не собираются удалять его в ближайшее время.

January 9, 2020