研究人员说,TrickBot在浏览器中间添加木马(MitB)用于窃取类似于早期银行的木马Zeus在线银行凭证可能表明银行欺诈攻击即将到来。
TrickBot这是一种复杂的(常见的)模块化威胁,以窃取凭证和提供一系列后续勒索软件和其他恶意软件而闻名。但一开始,它只是一个简单的银行特洛伊木马,通过将无忧无虑的用户重新定位到一个特殊的恶意网站来获得在线银行凭证,没有太多的安全分析技术。
据Kryptos Logic Threat Intelligence研究人员表示,该功能由研究人员决定TrickBot的webinject实现模块。当受害者试图访问目标时。URL(如银行网站),TrickBot webinject包会执行静态或动态Web实现其目标:
“静态注入类型会导致受害者被重新定位到攻击者控制的目标站点然后他们可以在那里收集凭证。”“动态注入类型透明转发服务器响应TrickBot命令和控制服务器(C2),然后在那里修改源,包括恶意组件,然后返回给受害者,就像它来自合法网站一样。”
根据Kryptos Logic在模块更新版本中,TrickBot增加了对“Zeus风格的webinject配置”的支持——这是将恶意代码动态注入目标银行站点目的地的另一种方法。
Zeus
研究人员解释说,直到2011年,Zeus在源代码泄露之前,它曾经是犯罪软件领域最受欢迎的银行木马。从那以后,许多其他恶意软件选择了各种功能并将其合并到自己的代码中。
“由于Zeus一直是银行恶意软件的黄金标准,Zeus风格的webinjects很受欢迎,很多其他恶意软件家族都支持Zeus风格的webinject实现语法等交叉兼容性4Zloader、5Citadel等等。”
研究人员说,在Zeus在该方法中,注入是通过本地注入的SOCKS服务器代理流量完成——这种方法也可以IcedID的man-In-browser webinject在模块中找到。当受害者试图访问目标时。URL(模块中许多硬编码URL一是流经侦听代理的流量会相应动态修改。为了实现这一点,它创建了一个自签名TLS并将证书添加到证书存储中。
“该模块包含一个有效的包装负载,可以注入受害者的浏览器,它会钩住套接字API将流量重定向当地侦听SOCKS代理,它还钩住了“CertVerifyCertificateChainPolicy”和“CertGetCertificateChain”确保证书错误不会显示给受害者。”
更新后的模块取代了旧的功能injectDll这个名字被推给了真正的受害者。该公司发现有两个版本:32和64。
TrickBot恢复银行欺诈业务
Kryptos Logic研究人员解释说,鉴于TrickBot它已经从银行木马时代发展到几乎完全专注于充当第一阶段和多用途恶意软件,这一发展值得我们关注,因为这些恶意软件通常是勒索软件感染的前兆。因此,在交付最终有效负载(通常是勒索软件)之前,它经常在整个网络环境中横向传播。最近,它甚至增加了一个bootkit函数。
因此,此更新webinject模块的新努力可能表明TrickBot运营商正重新卷入银行业欺诈战。
Kryptos Logic研究人员总结道:“webinject模块的恢复开发表明TrickBot该业务似乎已被搁置一年多,以恢复其银行欺诈业务。”“添加Zeus风格的webinjects这可能意味着他们的恶意软件,即服务平台的扩展,使用户能够携带自己的软件webinjects。”
本文翻译自:https://threatpost.com/trickbot-banking-trojan-module/167521/