Обновление TrickBot указывает на смещение внимания к банковскому мошенничеству

TrickBot - это имя, которое каждый, кто знаком с новостями о вредоносных программах и безопасности, должен был когда-то сталкиваться с этим именем. То, что изначально начиналось как банковский троян TrickBot еще в 2016 году и в основном использовалось для кражи банковских и карточных данных у жертв, постепенно превратилось в многоцелевой модульный набор вредоносных программ.

Несмотря на то, что последние пару лет TrickBot в основном использовался как средство доставки программ-вымогателей, в том числе печально известных семейств Ryuk и Conti, его последнее обновление указывает на то, что злоумышленники, стоящие за вредоносным ПО, снова стремятся усилить свои возможности банковского мошенничества и краж. с возможным переключением внимания на кражу учетных данных.

Исследователи безопасности, работающие с Kryptos Logic Threat Intelligence, изучали новейшие версии TrickBot, и их выводы интригуют. TrickBot добавляет механизмы кражи учетных данных, похожие на те, что используются в банковском трояне Zeus, с возможностью вредоносного ПО выполнять атаки типа «злоумышленник в браузере». Это достигается с помощью веб-инъекций.

Когда жертва, зараженная последней версией TrickBot, пытается открыть законный банковский веб-сайт, в игру вступает модуль веб-инъекции вредоносного ПО. Внедрение может быть как статическим, так и динамическим, при этом статическая версия перенаправляет пользователя на веб-сайт хакерского контроллера, который имитирует законный банковский сервис. Как только пользователь вводит свои учетные данные на поддельной странице, легко представить, что произойдет дальше.

Динамическое внедрение является более сложным и включает пересылку ответа сервера на серверы управления и контроля TrickBot, где источник страницы динамически изменяется. Затем зараженная вредоносным ПО страница возвращается в браузер пользователя, действуя так, как если бы она была загружена с законного банковского сайта.

Сходство с Zeus проявляется в обновлении модуля веб-инъекций, который теперь содержит то, что исследователи называют настройками конфигурации инъекций в стиле «Зевса». Это дает TrickBot еще один способ динамически изменять страницы, обслуживаемые браузером жертвы.

Причина, по которой хакеры до сих пор копируют фрагменты и фрагменты Zeus, даже несмотря на то, что исходный код трояна Zeus просочился уже десять лет, заключается в том, что он долгое время был вершиной банковских троянов, и некоторые из этих методов, когда были изменены на соответствовать потребностям современных вредоносных программ, но при этом не терять их веса.

Таким образом, исследователи отметили, что новая функциональность может указывать на то, что злоумышленник, стоящий за TrickBot, может стремиться расширить свою платформу обслуживания вредоносных программ и позволить лицензиатам и подающим надежды новым хакерам, которые используют TrickBot, создавать свои собственные конфигурации и модули веб-инъекций.