De gewetenloze ondernemers van de TrickBot trojan — een van de meest actieve en wijdverspreide malware stammen — zijn nu in staat om het uitvoeren van SIM wisselen aanvallen, veiligheid onderzoekers van Secureworks hebben verteld ZDNet vandaag.
Dit is mogelijk omdat in de afgelopen maand, TrickBot operatoren hebben een nieuwe versie van de malware die kan onderscheppen van inloggegevens en de PIN-codes voor de Sprint, T-Mobile en Verizon Wireless internet accounts.
De gegevens TrickBot verzamelt kan toestaan dat de operators voor het uitvoeren van een zogenaamde SIM-swapping aanval, het overdragen van een slachtoffer telefoonnummer aan een SIM-kaart onder hun controle.
Dit zou de TrickBot bende (of iemand anders) te omzeilen SMS-based multi-factor authenticatie oplossingen en wachtwoorden resetten voor een slachtoffer bankrekeningen, e-mail accounts, of cryptocurrency exchange portals.
Tijdens de laatste twee jaar, wisselen van SIM-aanvallen van hackers’ favoriete technieken in het stelen van geld van onwetende en soms machteloos slachtoffers, die vaak niet kunnen reageren snel genoeg om te stoppen met de voortdurende aanvallen van het gebeuren, en zijn bijna altijd te maken met de nasleep voor weken en maanden.
Nog erger is, TrickBot is voortgekomen uit het kleine banking trojan werking het was toen het begon terug in 2016 naar een Access-as-a-Service-model, waar de TrickBot bende kunnen andere bemanningen voor het implementeren van malware op computers eerder geïnfecteerd.
Dit heeft toegestaan TrickBot auteurs te ontwikkelen nauwe banden met tal van andere bendes in het cybercrime underground, en Secureworks angsten ze kunnen deze verbindingen gebruiken om snel te delen of verkopen de gegevens die ze hebben verzameld over de afgelopen maand.
“Het is heel goed mogelijk dat GOLD BLACKBURN [Secureworks’ naam voor TrickBot] zou verkopen op gegevens verkregen op mobiele gebruikers van andere criminele contacten die zijn beter te benutten,” Mike McLellan, Directeur voor de Secureworks Teller Bedreiging Eenheid, vertelde ZDNet vandaag.
McLellan ook vertelde ZDNet dat deze functionaliteit waardoor de malware te richten Sprint, T-Mobile en Verizon Wireless web-accounts toegevoegd als een update van de malware, en niet als een aparte test-stam.
Dit betekent dat alle TrickBot-geïnfecteerde computers, die deze “functie”, ongeacht wanneer ze werden besmet, en dit niet noodzakelijkerwijs dat er iemand het openen van een boobytrapped ze bestanden ontvangen via e-mail in de afgelopen maand alleen.
Hoe om te detecteren of je hebt beïnvloed
Terwijl gebruikers misschien niet in staat om te vertellen als ze al eerder geïnfecteerd met TrickBot tenzij ze installeren een top antivirus product, er zijn een paar cadeaus die kan laten weten als er iets mis is.
Door het ontwerp, TrickBot maakt gebruik van een techniek genaamd “web injecteert.” Deze techniek maakt het mogelijk om de malware te onderscheppen legitieme websites een gebruiker de toegang tot en het “injecteren” schadelijke inhoud.
Volgens Secureworks, TrickBot begon het onderscheppen van het verkeer voor het Verizon Wireless-pagina inloggen op 5 augustus, toen het begon met het toevoegen van twee nieuwe velden voor de account van de gebruiker PIN-code in Verizon ‘ s de standaard login-formulier.
De wijziging is makkelijk te missen, maar Verizon is meestal niet te vragen voor deze PINCODE in via de website. Als de gebruikers geen plek deze discrepantie en het formulier verzonden, TrickBot onderschept zowel het slachtoffer accountgegevens en PIN-code, die later geüpload naar de backend paneel.
Afbeelding via Secureworks
Het proces was een beetje anders voor T-Mobile en Sprint login pagina ‘ s, waarbij TrickBot begon het onderscheppen van het verkeer op 12 augustus en 19 augustus, respectievelijk.
In plaats van het toevoegen van de PIN-code veld in de reguliere login form, TrickBot toegevoegde dit gebied als een aparte pagina die is verschenen na een succesvolle login, zoals hieronder weergegeven.
Afbeelding via Secureworks
Als Sprint, T-Mobile en Verizon Wireless gebruikers herinner me het zien van deze pagina, dan is dat hun computers zijn zeer waarschijnlijk besmet met TrickBot. In dit geval, naast op zoek naar manieren desinfecteren van hun computers, slachtoffers worden ook geadviseerd om hun inloggegevens wijzigen zo snel mogelijk, samen met hun PIN-codes.
Deze waarschuwing moet niet lichtvaardig worden genomen.
TrickBot exploitanten hebben aangegeven al hoe gewetenloos kunnen zijn, en telecom-account referenties zijn op dit moment in hoge vraag als gevolg van de populariteit van SIM wisselen aanvallen.
Bovendien TrickBot is ook een van de meest actieve malware stammen, en de exploitanten vaak huren geïnfecteerde hosts om andere malware bendes, zoals ransomware bemanningen. Als een victm niet SIM verwisseld, en hij kan binnenkort worden geïnfecteerd met iets anders, zoals een cryptominer, een browser password stealer, of, in het ergste geval, ransomware.
Deze grafiek toont het aantal Emotet Vs. TrickBot malware samples sinds januari 2019. Je kunt duidelijk zien dat de verdwijning van Emotet 📉 malspam campagnes einde van Mei en de opkomst van TrickBot 📈 in juli dat wordt tegenwoordig gebruikt voor de implementatie van Ransomware 🔒💰op bedrijfsnetwerken 🏛️ pic.twitter.com/IdPoGxYMbO
— misbruik.ch (@abuse_ch) 13 augustus 2019
Veiligheid
Ik heb geïnstalleerd in Verizon ‘ s gratis junk call blocker en het lijkt te helpen
Het einde van snail mail: Onze mail vervoerder beroofd ons en nu de USPS dood is voor mij
Top 10 security extensies voor Google Chrome
Waarom we verliezen nog steeds de strijd tegen phishing-aanvallen (ZDNet YouTube)
Trump herhaalt Huawei als ‘bedreiging van de nationale veiligheid’ (CNET)
Data-inbreuken steeg van 54% in 2019 zo ver (TechRepublic)
Verwante Onderwerpen:
Telco ‘ s
Beveiliging TV
Data Management
CXO
Datacenters