Den skrupelfria aktörer i TrickBot trojan-en av dagens mest aktiva och allmänt utbredda skadliga program stammar — är nu i stånd att utföra byta SIM-attacker, säkerhet forskare från Secureworks har berättat ZDNet idag.
Detta är möjligt eftersom under den senaste månaden, TrickBot aktörer har utvecklat en ny version av skadlig kod som kan avlyssna inloggningsuppgifter och PIN-koder för Sprint, T-Mobile och Verizon Wireless web-konton.
Data TrickBot samlar in kan låta operatörerna att utföra ett så kallat SIM-byta attack, portering ett offer telefonnummer till ett SIM-kort som står under deras kontroll.
Detta skulle göra det möjligt TrickBot gänget (eller någon annan) för att kringgå SMS-baserad multi-faktor autentisering lösningar och återställa lösenord för offrets bank konton, e-post konton, eller cryptocurrency utbyte portaler.
Under de senaste två åren, byta SIM-attacker har varit en av hackare ” favorit tekniker i att stjäla pengar från ovetande och ibland maktlöst offer, som ofta inte kan reagera tillräckligt snabbt för att stoppa pågående attacker från att hända, och är nästan alltid vänster för att hantera följderna för veckor och månader.
Att göra saken värre, TrickBot har utvecklats från den lilla bank trojan operationen var det när det började redan 2016 till en Access-as-a-Service modell, där TrickBot gang gör det möjligt för andra besättningar för att distribuera skadlig kod på datorer som det tidigare infekterade.
Detta har gjort TrickBot författare att utveckla ett nära band till många andra ligor i it-relaterad brottslighet underground, och Secureworks farhågor man kan använda dessa anslutningar att snabbt sälja eller dela ut de uppgifter som de har samlat under den senaste månaden.
“Det är fullt möjligt att GULD BLACKBURN [Secureworks” namn för TrickBot] skulle sälja på data som erhållits för mobila användare att andra kriminella kontakter som har bättre förutsättningar att utnyttja det,” Mike McLellan, Chef för Secureworks Motverka Hot Enhet, berättade ZDNet idag.
McLellan berättade också ZDNet att denna funktionalitet så att det skadliga programmet mål Sprint, T-Mobile och Verizon Wireless web-konton har lagts till som en uppdatering till skadlig kod, och inte som ett separat test stam.
Detta innebär att alla TrickBot-infekterade datorer fick denna “funktion”, oavsett när de var infekterade, och detta inte nödvändigtvis innebär att någon öppnar en fyllda med fällor fil som de fått via e-post bara den senaste månaden.
Hur man upptäcker om du har drabbats
Medan användare kanske inte kan säga om de har tidigare varit infekterade med TrickBot om de installerar en top antivirus-produkt, finns det några giveaways som kan låta dem veta om något är fel.
Genom design, TrickBot fungerar med hjälp av en teknik som kallas “web inspel.” Denna teknik gör det möjligt malware för att avlyssna legitima webbplatser en användare komma åt och “spruta” skadligt innehåll.
Enligt Secureworks, TrickBot började avlyssna trafik för Verizon Wireless inloggningssidan på augusti 5, när det började att lägga till två nya fält för användarens konto PIN-kod i Verizon ‘ s standard login-formuläret.
Ändringen var lätt att missa, men Verizon brukar inte fråga efter PIN-koden via sin webbplats. Om användarna inte plats denna diskrepans och lämnas form, TrickBot stoppades både offrets konto referenser och PIN-kod, som det senare laddas upp till sin backend-panelen.
Bild via Secureworks
Processen var lite olika för T-Mobile och Sprint login sidor, som TrickBot började avlyssna trafik den 12 augusti och 19 augusti, respektive.
Istället för att lägga till PIN-kod-fältet i vanliga login-formuläret, TrickBot lagt till detta område som en separat sida som dök upp efter en lyckad inloggning, så som visas nedan.
Bild via Secureworks
Om Sprint, T-Mobile och Verizon Wireless användare komma ihåg att se dessa sidor, då deras datorer är mycket sannolikt smittade med TrickBot. I det här fallet, förutom att titta på olika sätt att desinficera sina datorer, och offren är också klokt att ändra sina inloggningsuppgifter så snart som möjligt, tillsammans med sin PIN-koder.
Denna varning bör inte tas på allvar.
TrickBot operatörer har redan visat hur skrupelfria de kan vara, och telecom kontouppgifter är för närvarande i hög efterfrågan på grund av den popularitet byta SIM-attacker.
Dessutom, TrickBot är också en av dagens mest aktiv skadlig kod stammar, och dess aktörer ofta hyr infekterade värdar till andra malware gäng, som ransomware besättningar. Om en victm inte få SIM bytte, han kan snart vara smittad med något annat, såsom en cryptominer, en webbläsare lösenord stealer, eller, i värsta fall, ransomware.
Detta diagram visar antal Emotet Vs. TrickBot malware prover eftersom Jan 2019. Du kan tydligt se att det försvunnit Emotet 📉 malspam kampanjer slutet av Maj och ökningen av TrickBot 📈 i juli som numera används för att distribuera Ransomware 🔒💰företagets nätverk 🏛️ pic.twitter.com/IdPoGxYMbO
— missbruk.ch (@abuse_ch) 13 augusti 2019
Säkerhet
Jag installerade Verizon gratis skräp call blocker och det verkar typ av hjälp
Slutet av snigel-post: Vår e-post bärare berövat oss och nu USPS är död för mig
Topp 10 säkerhet tillägg för Google Chrome
Varför vi är fortfarande förlora kampen mot phishing-attacker (ZDNet YouTube)
Trump upprepar Huawei som “national security hot” (CNET)
Dataintrång ökade med 54% 2019 så långt (TechRepublic)
Relaterade Ämnen:
Telekomföretag
Säkerhet-TV
Hantering Av Data
CXO
Datacenter