Den ökända Trickbot Trojan kan nu stjäla referenser från webbläsare för

På drygt två år har Trickbot omvandlats från en nykomling till ett etablerat namn i onlinehotlandskapet. Av någon anledning fortsätter många att klassificera det som en bank-trojan, men de som faktiskt har analyserat det i detalj vet att det är lite mer än så.

Trickbot är en modulär, mycket anpassningsbar skadlig familj

Först analyserades i oktober 2016, tros Trickbot vara arbetet för samma cyberbrottslingar som skapade Cutwail, Vawtrak och Pushdo. När det dök upp på scenen var det ett ganska enkelt hot med ett begränsat antal riktade finansinstitut. En uppdatering kom emellertid ungefär en månad senare, och experter insåg snabbt att de hade en allvarlig bit av skadlig kod på händerna. Inom bara veckor efter att ha släppt den första versionen hade Trickbots författare redan lyckats inkludera både omdirigeringar och server-injektionsmekanismer på webben i deras trojan. Trickbot kanske inte hade varit det första banktygsmjukvaran som använde de två teknikerna, men det var den första som gjorde det så snart efter sin debut. Gänget hade mer än några få andra knep i ärmarna.

Även i den första versionen såg säkerhetsforskarna att Trickbots design möjliggör en enkel tillägg av moduler som kunde diversifiera dess kriminella aktiviteter. Sommaren 2017 implementerade skurkarna en komponent som stal inloggningsuppgifter inte bara för bankkonton, utan även för kundrelationshanteringssystem, och kort efter tillsatte de många nya poster i listan över riktade finansinstitut. Trickbot-gänget trakasserade nu användare i nästan tjugo länder.

I juli 2017 lade de till en maskmodul som utnyttjade det nu beryktade SMB-protokollet för att spridas runt nätverket, och under de kommande månaderna experimenterade de med några olika komponenter som till exempel en skärmskåpsmodul som har lyckligtvis förblev funktionshindrade. Nu har vi en ny version med ännu mer funktionalitet.

Trickbot skrapar data från webbläsare och andra appar

Förra månaden märkte forskare från Trend Micro och Fortinet några Trickbot-prover som flyger runt.

Som ofta är fallet distribuerades de med hjälp av skräppostmeddelanden. För att locka offren till att öppna bilagan kallade skurkarna filen "Sep_report.xls" och vad som följde var det typiska scenariot "aktivera makron för att se innehåll".

Efter distributionen laddade koden ner och körde Trickbot-trojanen, men när de tittade närmare såg experterna en modul som de inte hade sett förut. Det kom i form av en 1MB-fil som heter "pwgrab32". Namnet ger bort en del av dess funktionalitet - att stjäla lösenord.

När de tittade närmare på den nya modulen såg experterna att den kan attackera de flesta stora webbläsare. Det stjälar inte bara inloggningsuppgifter, utan också autofyllningsdata (som i moderna webbläsare kan innehålla kreditkortsinformation och annan känslig information) från Google Chrome, Mozilla Firefox och Internet Explorer. Det fanns också en mekanism för att filtrera data från Microsoft Edge, men det inaktiverades när Fortinet och Trend Micro tittade på det. I stället hade Trickbots författare placerat en komponent som skrapade inloggningsuppgifter från Microsofts e-postklient, Outlook, samt ett par FTP-klienter - FileZilla och WinSCP.

Vi har diskuterat varför att spara inloggningsuppgifter och annan information i webbläsaren inte är så bra idé, och Trickbots nya funktionalitet illustrerar poängen ganska bra. I flera år har experter förespråkat användningen av fristående lösenordshanteringsverktyg som Cyclonis Password Manager, och du kanske vill börja tänka på att följa deras råd.

Även med en lösenordshanterare är Trickbot emellertid fortfarande ett hot att räkna med, och den nya uppdateringen visar att skurkarna inte har för avsikt att gå tillbaka det snart.