Gli operatori senza scrupoli di TrickBot trojan — oggi uno dei più attivi e diffuso malware ceppi — sono ora in grado di effettuare SIM scambio di attacchi, i ricercatori di sicurezza di Secureworks hanno detto a ZDNet oggi.
Questo è possibile perché nel corso del mese passato, TrickBot operatori hanno sviluppato una nuova versione del malware che è in grado di intercettare le credenziali di accesso e codici PIN per Sprint, T-Mobile e Verizon Wireless account web.
I dati TrickBot raccoglie può permettere che i suoi operatori, per la realizzazione di un cosiddetto SIM scambio di attacco, il porting di una vittima numero di telefono di una scheda SIM sotto il loro controllo.
Questo dovrebbe consentire al TrickBot gang (o qualcun altro) per bypassare SMS-based multi-fattore di soluzioni di autenticazione e reimpostare le password per una vittima di conti bancari, account di posta elettronica, o cryptocurrency scambio portali.
Negli ultimi due anni, SIM scambio di attacchi sono stati uno degli hacker’ tecniche preferite a rubare i soldi da ignari, e a volte impotenti vittime, che spesso non riescono a reagire abbastanza velocemente per fermare gli attacchi continui accada, e sono quasi sempre di sinistra per affrontare le conseguenze per settimane e mesi.
Quel che è peggio, TrickBot si è evoluto da una piccola trojan bancario operazione è stato quando il tutto è iniziato nel 2016 per un Accesso-come-un-modello di Servizio, dove il TrickBot gang consente altri equipaggi per la distribuzione di malware sui computer infetti in precedenza.
Questo ha permesso TrickBot autori di sviluppare stretti legami molte altre bande della criminalità informatica metropolitana, e Secureworks paure potrebbero utilizzare queste connessioni rapidamente condividere o cedere i dati che ho raccolto nel corso del mese passato.
“E’ del tutto possibile che l’ORO BLACKBURN [Secureworks’ nome per TrickBot] di vendere su dati ottenuti su di utenti di telefonia mobile per altri reati, i contatti che sono in una posizione migliore per sfruttare,” Mike McLellan, Direttore per la Secureworks Contatore Minaccia Unità, ha detto a ZDNet oggi.
McLellan ha detto anche di ZDNet che questa funzionalità che permette il malware target Sprint, T-Mobile e Verizon Wireless web account è stato aggiunto come un aggiornamento per il malware, e non come una prova separata ceppo.
Questo significa che tutti TrickBot-computer infetti ricevuto questa “caratteristica” indipendentemente da quando sono stati infettati, e questo non necessariamente coinvolgere qualcuno l’apertura di un no file ricevuti via e-mail solo nell’ultimo mese.
Come rilevare se sei stato influenzato
Mentre gli utenti potrebbero non essere in grado di dire se sono stati precedentemente infettati con TrickBot a meno che non installare un antivirus in alto di prodotto, ci sono un paio di omaggi che possono far loro sapere se c’è qualcosa di sbagliato.
Progettazione, TrickBot opera utilizzando una tecnica chiamata “web inietta.” Questa tecnica permette il malware intercettare siti web legittimi che un utente accede e “iniettare” contenuti dannosi.
Secondo Secureworks, TrickBot iniziato a intercettare il traffico per Verizon Wireless pagina di login, il 5 agosto, quando è iniziata l’aggiunta di due nuovi campi per l’account dell’utente codice PIN di Verizon standard form di login.
La modifica è stata facile perdere, ma Verizon di solito non chiedere per questo PIN tramite il suo sito web. Se gli utenti non posto questa discrepanza e inviato il modulo, TrickBot intercettati sia la vittima credenziali dell’account e il codice PIN, che successivamente caricato sul suo pannello di backend.
Immagine via Secureworks
Il processo è stato un po ‘ diverso per T-Mobile e Sprint pagine di login, per cui TrickBot iniziato a intercettare il traffico su agosto 12, e 19 agosto, rispettivamente.
Invece di aggiungere il codice PIN campo del regolare modulo di login, TrickBot aggiunto questo campo come una pagina separata che è apparso dopo aver effettuato il login con successo, come mostrato di seguito.
Immagine via Secureworks
Se Sprint, T-Mobile e Verizon Wireless agli utenti di ricordare vedendo queste pagine, quindi i loro computer sono molto probabilmente infettato con TrickBot. In questo caso, oltre cercando il modo di disinfettare i loro computer, le vittime sono anche invitati a modificare le proprie credenziali appena possibile, insieme con i loro codici PIN.
Questo avviso non dovrebbe essere presa alla leggera.
TrickBot gli operatori hanno dimostrato già come senza scrupoli possono essere, e telecom credenziali di accesso sono attualmente in forte domanda a causa della popolarità di SIM scambio di attacchi.
Inoltre, TrickBot è anche uno dei più attivi malware ceppi, e i suoi operatori, spesso, affitto host infetti ad altri malware bande, come ransomware equipaggi. Se un victm non ottiene SIM scambiati, si potrebbe presto essere infettati con qualcos’altro, come un cryptominer, un browser password stealer, o, nel peggiore dei casi, ransomware.
Questo grafico mostra il numero di Emotet Vs. TrickBot campioni di malware da gennaio 2019. Si può vedere chiaramente la scomparsa di Emotet 📉 malspam campagne fine di Maggio e l’aumento di TrickBot 📈 nel mese di luglio che è oggi utilizzato per distribuire Ransomware 🔒💰su reti aziendali 🏛️ pic.twitter.com/IdPoGxYMbO
— abuso.ch (@abuse_ch) 13 agosto 2019
Sicurezza
Ho installato Verizon connessione indesiderata blocca chiamate e sembra tipo di aiuto
La fine di una lumaca mail: Nostro corriere derubato di noi e ora l’USPS è morto per me
Top 10 sicurezza estensioni per Google Chrome
Perché stiamo ancora perdendo la lotta contro gli attacchi di phishing (ZDNet YouTube)
Trump ribadisce Huawei come “minaccia per la sicurezza nazionale’ (CNET)
Le violazioni dei dati è aumentato del 54% e, nel 2019 finora (TechRepublic)
Argomenti Correlati:
Le società di telecomunicazioni
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati