TrickBot 更新表明將重點轉移回銀行欺詐

TrickBot 是任何閱讀惡意軟件和安全新聞的人都曾在某個時間點遇到過的名字。最初是在 2016 年作為 TrickBot 銀行木馬開始的，主要用於從受害者那裡竊取銀行和卡信息，慢慢演變成一個多用途的模塊化惡意軟件工具包。

儘管在過去幾年中，TrickBot 主要用作傳播勒索軟件的工具，包括臭名昭著的 Ryuk 和 Conti 家族，但其最新更新表明，惡意軟件背後的不良行為者正在尋求再次加強其銀行欺詐和盜竊能力，重點可能會轉移到竊取憑據上。

與 Kryptos Logic Threat Intelligence 合作的安全研究人員一直在研究最新版本的 TrickBot，他們的發現很有趣。 TrickBot 正在添加類似於 Zeus 銀行木馬中發現的憑據竊取機制，該惡意軟件具有執行瀏覽器中間人攻擊的能力。這是使用網絡注入實現的。

當感染了最新版本 TrickBot 的受害者試圖打開合法的銀行網站時，惡意軟件的網絡注入模塊就會發揮作用。注入可以是靜態的或動態的，靜態版本將用戶路由到模仿合法銀行服務的黑客控製網站。一旦用戶在虛假頁面中輸入他們的憑據，很容易想像接下來會發生什麼。

動態注入更複雜，涉及將服務器的響應轉發到 TrickBot 的命令和控制服務器，在那裡動態更改頁面源。然後將帶有惡意軟件的頁面返回到用戶的瀏覽器，就好像它是從合法銀行站點加載的一樣。

與 Zeus 的相似之處在於 Web 注入模塊的更新，該模塊現在包含研究人員所謂的“Zeus 風格”注入配置設置。這為 TrickBot 提供了另一種動態更改提供給受害者瀏覽器的頁面的方法。

儘管 Zeus 木馬的源代碼已經洩露了十年，但黑客仍然會復制 Zeus 的點點滴滴，這是因為它長期以來一直是銀行木馬的頂峰，其中一些技術經過修改後滿足當今惡意軟件的需求，仍然可以發揮其作用。

總之，研究人員指出，新功能可能表明 TrickBot 背後的威脅參與者可能希望擴展其惡意軟件服務平台，並允許使用 TrickBot 的被許可人和嶄露頭角的新黑客編寫自己的 Web 注入配置和模塊。