Nul
Den Trickbot bank-malware har tilføjet endnu et værktøj til sit arsenal, så svindlere til at stjæle adgangskoder samt stjæle browser data, herunder web historie og brugernavne.
Den malware, der optrådte første gang i 2016, i første omgang fokuseret på at stjæle banking legitimationsoplysninger – men Trickbot er meget fleksibelt og har gennemgået en række opdateringer siden da. Det seneste trick – samlet op af forskere i både Trend Micro og Kinesisk – er tilføjelsen af et nyt modul designet til at stjæle adgangskoder.
Denne nye Trickbot variant første dukkede op i oktober, og er leveret til ofre via en ondsindet Excel-dokument.
Ligesom mange former for malware, den ondsindede pakke spredes via makroer: brugeren er fortalt deres dokument, der blev oprettet i en tidligere version af Excel, og at de skal “aktiver indholdet” for at få vist filen. Dette kan tillade makroer at køre og udfører skadelige VBS-kode, der starter processen med download af malware.
Sep_report.xls decoy dokument, der anvendes til at levere Trickbot.
Billede: Fortinet
Udførelse går gennem en række processer, der kulminerede i PowerShell at blive henrettet for at hente en endelig nyttelast fra en falsk Microsoft Office Excel-adresse.
Denne nyttelast – pointer.exe – er TrickBot sig selv, der er opført som “”pointes.exe” når det er installeret. Ligesom tidligere versioner af malware, det vedholdende installerer sig selv i systemets Opgavestyring, så den kan køres automatisk, når maskinen er i drift.
Se også: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
Efter det har kørt i lidt tid, det henter et nyt modul – pwgrab32. Ifølge Fortinet, er dette bestemt modul, først opstod i midten af oktober, og som navnet antyder, er det designet til at få fat i kodeord oplysninger fra ofrets system.
Adgangskoden grabber kan stjæle loginoplysninger form applikationer såsom Filezilla, Microsoft Outlook, og WinSCP, og som potentielt kan give alle mulige oplysninger om den inficerede maskine.
Ud over at stjæle loginoplysninger fra applikationer, Trickbot også stjæler information fra web-browsere, herunder brugernavne og passwords, internet, cookies, historik, autofyld og HTTP indlæg. Alle disse kan udnyttes til at give hackeren mulighed for at gøre væk med ekstra data – og det virker på Google Chrome, Mozilla Firefox, Internet Explorer og Microsoft Kant browsere.
De ekstra af dette password stealer gør Trickbot og endnu mere kraftfulde også, med evnen til at stjæle loginoplysninger fra hele web – ofrene er i risiko for tyveri og bedrageri på mere end blot deres bank konto.
Trickbot centrale evne som en bank trojan også fortsat overvågning af brugere, og som bank-Webadresser, som de har adgang til, herunder de institutioner i Usa, Canada, STORBRITANNIEN, Tyskland, Australien, Østrig, Irland og Schweiz. Den malware bruger en af to metoder – credential-udvinding, eller en falske phishing-side, der ligner de rigtige ting – for at få brugerens login-oplysninger og få adgang til kontoen.
Malware forfattere fortsætte med at opdatere banking trojanske heste, som Trickbot og Emotet for at sikre, at de kan forblive uopdaget så længe som muligt. Ved hjælp af en robust sikkerhed-pakke, der kan gå et stykke vej for at forhindre brugere i at blive offer for angreb – som kan undervisning om, hvordan man undgår øje på den mistænkelige e-mails, der leverer denne type trussel.
LÆS MERE OM IT-KRIMINALITET
Phishing-angreb: Hvorfor er e-mail stadig er sådan et let mål for hackere? En paranoid ‘ s guide to the internet [CNET] Password og kreditkort-stjæle Azorult malware tilføjer nye tricksEnkel, men yderst effektiv: Inde i verdens mest produktive mobile banking malware [TechRepublic]Denne nye trojan, malware bruger lækket kildekode legit software til snoop på dig
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0