Den skrupelløse aktører i TrickBot trojan-en af tidens mest aktive og udbredt malware stammer-er nu i stand til at udføre SIM-swapping angreb, sikkerhed forskere fra Secureworks har fortalt ZDNet i dag.
Dette er muligt, fordi over den seneste måned, TrickBot operatører har udviklet en ny version af den malware, der kan opsnappe login-legitimationsoplysninger og PIN-koder for Sprint, T-Mobile, og Verizon Wireless web-konti.
Data TrickBot indsamler kan tillade, at dens aktører for at udføre en såkaldt SIM-swapping angreb, portering et offer telefonnummer til et SIM-kort, som er under deres kontrol.
Dette vil tillade TrickBot gang (eller en anden) til at omgå SMS-baseret multi-faktor-autentificering løsninger og nulstille adgangskoder for offerets bank konti, e-mail-konti, eller cryptocurrency udveksling portaler.
I løbet af de sidste to år, SIM-swapping angreb har været en af hackere’ favorit teknikker i at stjæle penge fra intetanende og nogle gange magtesløse ofre, der ofte ikke kan reagere hurtigt nok til at stoppe igangværende angreb sker, og er næsten altid til venstre for at beskæftige sig med eftervirkningerne for uger og måneder.
At gøre tingene værre, TrickBot har udviklet sig fra det lille bank trojan betjening det var, da det startede tilbage i 2016 til en Access-as-a-Service-modellen, hvor TrickBot bande giver andre besætninger til at installere malware på computere det tidligere inficerede.
Dette har givet TrickBot forfattere til at udvikle et tæt bånd til mange andre bander i it-kriminalitet under jorden, og Secureworks frygt, de kan bruge disse forbindelser til hurtigt at dele eller sælge de data, de har indsamlet i løbet af den seneste måned.
“Det er helt muligt, at GULD BLACKBURN [Secureworks’ navn for TrickBot] ville sælge på data indsamlet på mobile brugere til andre kriminelle kontakter, der er bedre placeret til at udnytte det,” Mike McLellan, Direktør for Secureworks Imødegå Truslen Enhed, fortalte ZDNet i dag.
McLellan også at vide, ZDNet, at denne funktion tillader malware til at målrette Sprint, T-Mobile, og Verizon Wireless web-konti er blevet tilføjet som en opdatering til malware, og ikke som en særskilt test, stamme.
Dette betyder, at alle TrickBot-inficerede computere har modtaget denne “feature”, uanset hvornår de blev smittet, og dette ikke nødvendigvis indebærer, at nogen åbner en boobytrapped fil, de har modtaget via e-mail inden for den seneste måned alene.
Hvordan til at opdage, hvis du har været påvirket
Mens brugere, der måske ikke være i stand til at fortælle, hvis de har været tidligere inficeret med TrickBot, medmindre de installerer en top antivirus produkt, der er et par gaver, der kan lade dem vide, hvis noget er galt.
Ved design, TrickBot fungerer ved hjælp af en teknik kaldet “web-sprøjter.” Denne teknik gør det muligt for malware at opfange legitime websites, en bruger adgang til og “indskyde” skadeligt indhold.
Ifølge Secureworks, TrickBot begyndte at opsnappe trafik for Verizon Wireless login-siden den August 5, da det begyndte at tilføje to nye felter til brugerens konto PIN-kode i Verizon ‘ s standard login-formular.
Den ændring var let at overse, men Verizon normalt ikke bede om denne PIN-kode via sin hjemmeside. Hvis brugere ikke kan få øje på denne forskel, og indsendt formularen, TrickBot opsnappet både ofrets konto legitimationsoplysninger og PIN-kode, som det senere uploadede til sin backend panel.
Billede via Secureworks
Processen var en lille smule anderledes for T-Mobile og Sprint login-sider, som TrickBot begyndte at opsnappe trafik på August 12, og August 19, hhv.
I stedet for at tilføje PIN-kode-feltet i den almindelige login-formular, TrickBot tilføjet dette felt som en separat side, der dukkede op efter en vellykket login, som vist nedenfor.
Billede via Secureworks
Hvis Sprint, T-Mobile, og Verizon Wireless brugere husk at se disse sider, så deres computere er meget sandsynligt inficeret med TrickBot. I dette tilfælde, udover at se på mulighederne for at desinficere deres computere, ofre er også rådes til at ændre deres legitimationsoplysninger så hurtigt som muligt, sammen med deres PIN-koder.
Denne advarsel bør ikke tages let på.
TrickBot operatører har vist allerede, hvor skruppelløse, de kan være, og telecom-konto legitimationsoplysninger er i øjeblikket i høj kurs på grund af populariteten af SIM-swapping angreb.
Desuden TrickBot er også i dag et af verdens mest aktive malware stammer, og dets operatører ofte leje inficerede værter til andre malware bander, som ransomware besætninger. Hvis en victm ikke få SIM byttet, han kan snart blive smittet med noget andet, såsom en cryptominer, en browser password stealer, eller, i værste fald, ransomware.
Dette diagram viser antallet af Emotet Vs. TrickBot malware prøver da Jan 2019. Du kan tydeligt se forsvinden af Emotet 📉 malspam kampagner slutningen af Maj og en stigning i antallet af TrickBot 📈 i juli, der er i dag anvendes til at installere Ransomware 🔒💰på virksomhedens netværk 🏛️ pic.twitter.com/IdPoGxYMbO
— misbrug.ch (@abuse_ch) August 13, 2019
Sikkerhed
Jeg har installeret Verizon ‘ s gratis junk call blocker og det lader til, at hjælpe
Slutningen af snail mail: Vores mail-luftfartsselskab berøvet os, og nu er den USPS er død for mig
Top 10 sikkerhed-udvidelser til Google Chrome
Hvorfor vi er stadig ved at miste kampen mod phishing-angreb (ZDNet YouTube)
Trump gentager Huawei som “national sikkerhedstrussel’ (CNET)
Brud på datasikkerheden steg med 54 procent i 2019, så langt (TechRepublic)
Relaterede Emner:
Teleselskaber
Sikkerhed-TV
Data Management
CXO
Datacentre