Trickbot Malware har nya tricks i sin ärm: Coronavirus-temaprövmaterial Fool Security Products och mål telekommunikationsföretag

Redan 2016 startade Trickbot sitt liv som en ödmjuk banktrojan, men det blev snabbt uppenbart att det var mycket mer än så. Just nu, nära fyra år senare, är det förmodligen säkert att säga att det är den mest använda malware-familjen i världen, och det finns inget som tyder på att cyberbrottslingar kommer att vända sig från det när som helst snart.

Dess huvudattraktion ligger i dess mångsidighet, som kommer från dess modulära design. Malware-skapare kan utveckla och lägga till plugins och enkelt få trojanen att göra ett brett spektrum av uppgifter. Under tiden kan Trickbot, med några justeringar, bli snyggare och extremt svårt att ta bort. Nya prover som upptäckts av säkerhetsforskare visar varför cyberbrottslingar älskar det så mycket.

Trickbot-prover använder paniken kring coronavirusutbrottet för att undvika säkerhetslösningar

Trickbot, som många andra skadliga familjefamiljer, använder den aktuella coronaviruspandemin i sina kampanjer. Till skillnad från andra gäng använder Trickbot-operatörerna emellertid inte utbrottet för att lura offren att öppna en fil eller klicka på en länk. Den här gången spelar coronaviruset en roll i att lura datorn.

Enligt säkerhetsnyhetswebbplatsen Bleeping Computer gjorde brottslingar nyligen ändringar i skadeprogrammets krypter - ett program som är utformat för att kryptera den körbara koden och få den att verka legitim. Forskare gick igenom de nya filernas egenskaper och fick reda på att strängar från nyhetsrapporter från Coronavirus placerades i fält som "Filbeskrivning", "Produktnamn" och "Upphovsrätt".

Detta ser ut som ett konstigt drag. När allt kommer omkring är den tråkiga sanningen att vanliga användare sannolikt inte kommer att undersöka en okänd fil i så många detaljer innan de startar, och även om de gjorde det, finns det en god chans att de blir förvirrade av en Egenskaps-sida som ser ut så här. Men det finns en metod bakom allt detta.

Vitali Kremez från SentinelLabs berättade för Bleeping Computer att det troligtvis är en teknik för upptäcktsundvikelse. Tydligen har Trickbot-operatörer använt det tidigare, och det verkar vara särskilt effektivt mot säkerhetslösningar som förlitar sig på konstgjord intelligens och maskininlärning.

Dessa nya tillägg antyder att Trickbots operatörer är fast beslutna att framgångsrikt kompromettera sina mål. Detta stöds förresten också av oberoende forskning som utförts av Bitdefender tidigare denna månad.

Trickbot attackerar mål genom RDP

Bitdefenders forskare övervakade Trickbots beteende när de i slutet av januari märkte att skurkarna pressade en uppdatering. Det fanns en ny modell som experterna inte hade sett förut. En del av funktionaliteten fungerade inte korrekt, vilket visade att uppdateringen fortfarande var ett pågående arbete, men trots detta lyckades den ge experter en uppfattning om vad skurkarnas framtidsplaner kunde vara.

Den nya modulen, tillsammans med en konfigurationsfil, laddas ner från en av de många tillgängliga Command & Control (C&C) -serverna efter en framgångsrik infektion. Trickbot får en lista med mål, och dess första uppgift är att se om de har sina RDP-tjänster (Remote Desktop Protocol) aktiverade. Om ett mål har en öppen RDP, skickas dess namn tillbaka till C&C via en POST-begäran. Servern svarar med en samling användarnamn och lösenord som Trickbot använder för att försöka brute-force sin väg in och äventyra den målriktade organisationen.

Det är svårt att säga om den nya modulen har använts i naturen ännu. Baserat på listan över mål som Bitdefenders forskare såg, kunde det dock snabbt släppas ut mot telekommunikationsföretag i USA och Hong Kong. Skurkarna skulle också kunna sätta sin syn på företag inom finanssektorn samt organisationer som arbetar med utbildning och vetenskaplig forskning.

De två nya tilläggarna representerar de senaste i en mycket lång rad uppdateringar som Trickbots operatörer har lagt till sin skadliga programvara. Vi kan bara gissa vilken riktning trojanen kommer att ta nästa, men vi kan vara ganska säkra på att det kommer att förbli en favorit hos cyberbrottslingarna.