Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi udgivet i Zero Day den 17. februar 2022 | Emne: Sikkerhed
Trickbot-malware er en torn i øjet på cybersikkerhedsprofessionelle og er nu rettet mod kunder fra 60 større institutioner i phishing-angreb og gennem webinjektioner.
Trickbot begyndte sin rejse som en relativt simpel banktrojaner sammen med folk som Zeus, Agent Tesla, Dridex og DanaBot. Men efter at Dyre-botnettet blev pensioneret i 2016, og infrastrukturen, der understøtter det produktive Emotet-botnet, blev forstyrret af Europol og FBI sidste år, er der blevet rettet mere opmærksomhed mod Trickbot-aktiviteter.
Malwaren er modulopbygget, hvilket betyder, at brugere kan anvende softwaren til at udføre en bred vifte af angreb – og disse overgreb kan skræddersyes afhængigt af de ønskede ofre.
Den 16. februar offentliggjorde Check Point Research (CPR) en ny undersøgelse om Trickbot, der bemærkede, at malwaren nu bliver brugt i målrettede angreb mod kunder fra 60 “højprofilerede” organisationer, hvoraf mange er placeret i USA.
Virksomhederne er ikke selv ofre for malwaren. I stedet udnytter TrickBot-operatører mærkernes omdømme og navne i adskillige angreb.
Ifølge CPR omfatter de mærker, der bliver misbrugt af TrickBot, blandt andre Bank of America, Wells Fargo, Microsoft, Amazon, PayPal, American Express, Robinhood, Blockchain.com og Navy Federal Credit Union. .
Finansielle organisationer, cryptocurrency-børser og teknologivirksomheder er alle på listen.
Forskerne har også givet tekniske detaljer om tre nøglemoduler – ud af cirka 20, som Trickbot kan bruge – brugt i angreb og for at forhindre analyse eller omvendt konstruktion.
Det første, injectDll, er et webinjektionsmodul, der kan kompromittere en browsersession. Dette modul kan injicere JavaScript-kode i en browser for at udføre bankdata og tyveri af kontooplysninger, f.eks. ved at omdirigere ofre til ondsindede sider, der ser ud til at være ejet af et af de legitime virksomheder nævnt ovenfor.
Derudover bruger modulets webinject-format en lille nyttelast, der er sløret for at forhindre detektion.
TabDLL bruger fem trin til at stjæle information. Den ondsindede kode åbner LSASS-applikationshukommelsen til at gemme stjålne data, injicerer kode i explorer.exe og tvinger derefter offeret til at indtaste loginoplysninger, før de låses ude af deres session. Legitimationsoplysningerne bliver derefter stjålet og eksfiltreret fra LSASS ved hjælp af Mimikatz, før de bliver ført væk til angriberens kommando-og-kontrol-server (C2).
Desuden er dette modul også i stand til at bruge EternalRomance-udnyttelsen til at sprede Trickbot på tværs af SMBv1-netværk.
Det tredje bemærkelsesværdige modul er pwgrabc, designet til at stjæle legitimationsoplysninger fra applikationer, inklusive browserne Chrome, Edge, Firefox og Internet Explorer; Microsoft Outlook, FileZilla, TeamViewer, Git og OpenSSH.
“Trickbot er fortsat en farlig trussel, som vi vil fortsætte med at overvåge sammen med andre malware-familier,” siger forskerne. “Uanset hvad der venter TrickBot-botnet, vil den grundige indsats, der er lagt i udviklingen af sofistikeret TrickBot-kode, sandsynligvis ikke gå tabt, og koden vil finde sin brug i fremtiden.”
I en separat undersøgelse offentliggjort af IBM Trusteer i januar, er varianter af Trickbot blevet opdaget, der indeholder nye funktioner designet til at hæmme forskere, der forsøger at analysere malwaren gennem reverse-engineering.
Sammen med server-side-injektioner og HTTPS C2-kommunikation, vil Trickbot kaste sig i en løkke, hvis 'kodeforskønnelse' opdages – den automatiske oprydning af kode for at gøre den mere læsbar og nemmere at analysere.
Tidligere og relateret dækning
Trickbot er tilbage igen – med nye phishing- og malware-angreb
Trickbot vil nu forsøge at crashe forsker-pc'er for at stoppe reverse engineering-forsøg
Det amerikanske justitsministerium anklager lettisk national for implementering af Trickbot-malware
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre