TrickBot-uppdatering indikerar skiftande fokus tillbaka till bankbedrägeri

TrickBot är ett namn som alla som läser upp skadlig programvara och säkerhetsnyheter måste ha sprungit över någon gång. Det som ursprungligen började som TrickBot-banktrojan 2016 och användes främst för att stjäla bank- och kortinformation från offren, utvecklades långsamt till en multifunktionell verktygsverktyg för skadlig programvara.

Trots att TrickBot under de senaste åren huvudsakligen användes som ett fordon för att leverera ransomware inklusive de ökända Ryuk- och Conti-familjerna, tyder den senaste uppdateringen på att de dåliga aktörerna bakom skadlig programvara återigen vill skärpa sina bankbedrägerier och stöldfunktioner, med en möjlig fokusförskjutning tillbaka till att stjäla referenser.

Säkerhetsforskare som arbetar med Kryptos Logic Threat Intelligence har undersökt de senaste versionerna av TrickBot och deras resultat är spännande. TrickBot lägger till autentiseringsstöldmekanismer som liknar dem som finns i Zeus banktrojan, med skadlig programvara för att utföra attacker från människa i webbläsaren. Detta uppnås med hjälp av injektioner på webben.

När ett offer som är smittat med den senaste versionen av TrickBot försöker öppna en legitim bankwebbplats kommer skadlig programvara till webbinjektionsmodul. Injektionen kan vara både statisk eller dynamisk, med den statiska versionen som dirigerar användaren till en hacker-kontrollerwebbplats som efterliknar den legitima banktjänsten. När användaren anger sina uppgifter på den falska sidan är det lätt att föreställa sig vad som händer härnäst.

Den dynamiska injektionen är mer sofistikerad och involverade vidarebefordran av serverns svar till TrickBots kommando- och styrservrar, där sidkällan ändras dynamiskt. Sidan med skadlig programvara returneras sedan till användarens webbläsare och fungerar som om den laddades upp från den legitima banksidan.

Likheten med Zeus kommer i uppdateringen av webbinjiceringsmodulen, som nu innehåller vad forskare kallar "Zeus-stil" -inställningar för injektionskonfiguration. Detta ger TrickBot ännu ett sätt att dynamiskt ändra sidor som serveras i offrets webbläsare.

Anledningen till att hackare fortfarande kopierar bitar av Zeus, även om Zeus-trojanen har fått sin källkod läckt ut i ett decennium nu, är att det var toppen av banktrojaner under lång tid och några av dessa tekniker, när de modifierades till passar behoven av dagens skadliga program, fortfarande dra deras vikt.

Sammanfattningsvis påpekade forskare att den nya funktionaliteten kan indikera att hotaktören bakom TrickBot kanske vill utöka sin plattform för skadlig programvara och tillåta licenstagare och nystartade nya hackare som använder TrickBot för att skriva sina egna konfigurationer och moduler för webbinjektion.