TrickBot 更新表明将重点转移回银行欺诈

TrickBot 是任何阅读恶意软件和安全新闻的人都曾在某个时间点遇到过的名字。最初是在 2016 年作为 TrickBot 银行木马开始的，主要用于从受害者那里窃取银行和卡信息，慢慢演变成一个多用途的模块化恶意软件工具包。

尽管在过去几年中，TrickBot 主要用作传播勒索软件的工具，包括臭名昭著的 Ryuk 和 Conti 家族，但其最新更新表明，恶意软件背后的不良行为者正在寻求再次加强其银行欺诈和盗窃能力，可能将重点转移到窃取凭据上。

与 Kryptos Logic Threat Intelligence 合作的安全研究人员一直在研究最新版本的 TrickBot，他们的发现很有趣。 TrickBot 正在添加类似于 Zeus 银行木马中发现的凭据窃取机制，该恶意软件具有执行浏览器中间人攻击的能力。这是使用网络注入实现的。

当感染了最新版本 TrickBot 的受害者试图打开合法的银行网站时，恶意软件的网络注入模块就会发挥作用。注入可以是静态的或动态的，静态版本将用户路由到模仿合法银行服务的黑客控制网站。一旦用户在虚假页面中输入他们的凭据，很容易想象接下来会发生什么。

动态注入更复杂，涉及将服务器的响应转发到 TrickBot 的命令和控制服务器，在那里动态更改页面源。然后将带有恶意软件的页面返回到用户的浏览器，就好像它是从合法银行站点加载的一样。

与 Zeus 的相似之处在于 Web 注入模块的更新，该模块现在包含研究人员所谓的“Zeus 风格”注入配置设置。这为 TrickBot 提供了另一种动态更改提供给受害者浏览器的页面的方法。

尽管 Zeus 木马的源代码已经泄露了十年，但黑客仍然复制 Zeus 的点点滴滴的原因是，它在很长一段时间内都是银行木马的巅峰之作，并且其中一些技术被修改为适合当今恶意软件的需求，但仍要发挥其作用。

总之，研究人员指出，新功能可能表明 TrickBot 背后的威胁参与者可能希望扩展其恶意软件服务平台，并允许使用 TrickBot 的被许可人和崭露头角的新黑客编写自己的 Web 注入配置和模块。