0
De Trickbot Trojan doelen banken over de hele wereld.
Beeld: iStock
Een beruchte banking Trojan is gericht op klanten van een grote bank met een nieuwe e-mail spam-campagne, die leidt slachtoffers naar een inlogpagina die niet te onderscheiden zijn van die van hun bank.
De referentie-stelen Trickbot banking malware is het raken van de financiële sector sinds het afgelopen jaar en de doelstellingen voor online banking klanten in de VS, verenigd koninkrijk, Australië en andere landen.
De mensen achter deze bijzondere banking Trojan zijn voortdurend in ontwikkeling en zijn nog aan het experimenteren geweest met EternalBlue, het Windows-exploit die hielpen verspreiden WannaCry en Petya.
Maar hoe geavanceerde malware krijgt, phishing blijft een gemeenschappelijke aanval voor het verspreiden van kwaadaardige lading.
Ontdekt door security-onderzoekers van Cyren, de laatste Trickbot distributie campagne verzonden meer dan 75.000 e-mails in 25 minuten, al beweert te zijn van Lloyds Bank, een van de UK ‘ s grootste banken.
E-mails werden verstuurd met het onderwerp ‘Inkomende BACs’, een verwijzing naar BACS, een systeem dat gebruikers in staat stelt om betalingen direct van een e-mail account naar de andere. De e-mails die beweren dat het doel moet controleren en ondertekenen van bijgevoegde documenten.
Een phishing e-mail beweert van Lloyds gebruikt voor het distribueren van Trickbot.
Afbeelding: Cyren
Na het downloaden en openen van de Excel-bijlage ‘IncomingBACs.xlsm’, wordt de gebruiker gevraagd de macro ‘ s inschakelen om het document te bewerken. Zoals met vele kwaadaardige e-mail campagnes, echter, het is dit proces dat ervoor zorgt dat malware lading worden ingezet.
In dit geval is de Trojan maakt gebruik van PowerShell een uitvoerbaar bestand downloaden, die uiteindelijk loopt zo ‘Pdffeje.exe’ de belangrijkste TrickBot proces, die installeert de malware op de machine.
Zodra een computer is geïnfecteerd met Trickbot, de malware draait in de achtergrond en wacht voor het slachtoffer om naar hun online bank.
Als ze dit doen, Trickbot omgeleid naar een kwaadaardige website, die in dit geval is een nep-versie van de Lloyds website die zag er precies uit als het echte ding — compleet met de juiste URL van de online bank en een legitieme SSL-certificaat, zodat een gebruiker kan niet vermoeden dat ze zijn bedrogen.
“Door het gebruik van HTML en JavaScript, de kwaadaardige site is in staat de juiste URL en het digitaal certificaat van de echte site op de kwaadaardige pagina” Sigurdur Stefnission, vice-president van de dreiging onderzoek op Cyren, vertelde ZDNet.
Door dit te doen, de aanvaller is in staat om te zien en te stelen van het slachtoffer online banking referenties en beveiligingscodes, en maak het uit met hun geld en gegevens.
Terwijl de nep-sites lijken op de echte ding, waarop zelfs de gebruiker de juiste URL van de online bank en een legitieme SSL-certificaat, zodat de gebruiker niet ziet iets ongewoons-er is een grote giveaway dat de e-mail is niet van Lloyds: het e-mail adres is verzonden, wordt gespeld.
In plaats van uit lloydsbank.co.verenigd koninkrijk, het bericht is verzonden vanaf lloydsbacs.co.verenigd koninkrijk, een domein dat gehost wordt door een nederlands IP-adres en een bekende bron van spam.
In de kern, TrickBot blijft vergelijkbaar met zijn voorganger, de data-diefstal van Dyre Trojan, met zijn handtekening browser manipulatie technieken.
Hoewel het is niet zo vruchtbaar als de wil van Zeus, Gozi, ramnit was, en Dridex, onderzoekers waarschuwen dat Trickbot zal blijven worden “formidabele kracht” in de toekomst, als de auteurs kijken naar het toevoegen van meer krachtige mogelijkheden om beter te verspreiden deze gevaarlijke malware.
“TrickBot evolueert en verandert bijna elke dag en doelstellingen nieuwe banken over de hele wereld, zodat alle banken moeten alert zijn,” zei Stefnission.
Het is momenteel niet duidelijk wie er achter Trickbot, maar de manier waarop de malware is voortdurend in ontwikkeling suggereert het is het werk van een goed georganiseerde, goed gefinancierde cybercrimineel groep.
ZDNet contact met Lloyds Bank voor commentaar, maar had geen antwoord op het moment van publicatie.
Vorige dekking
TrickBot banking Trojan stappen tot aanslagen op BRITSE doelen
IBM X-Force onderzoekers waarschuwen dat deze geavanceerde malware-familie is hard op weg een van de meest voorkomende vormen van data-diefstal van bank-Trojanen
Dyre opvolger TrickBot aanvallen Australische banken
De oude Dyre bemanning lijken te hebben bijgedragen aan een nieuwe Trojan met nieuwe, meer verwoestende features.
MEER OVER CYBERCRIME
Banking Trojan test nieuwe aanval technieken tegen high-profile doelen Hackers beroofd russische banken, eyed global heist [CNET]WannaCry onderzoeker ontkent maken banking malware op de terechtzitting Cyberwar: De smart person ‘ s guide [TechRepublic]Kijk uit voor dit geld stelen van macOS malware die bootst uw online bank
0