Der Banking-Trojaner ist mit einer Reihe neuer Funktionen zurück.
Der TrickBot-Trojaner wurde mit neuen Modulen aktualisiert, um die Erkennung und Abwehr zu erschweren.
Sicherheit
- 8 Gewohnheiten hochsicherer Remote-Mitarbeiter
- So finden und entfernen Sie Spyware von Ihrem Telefon
- Die besten VPN-Dienste: Wie schneiden die Top 5 im Vergleich ab?
- So finden Sie heraus, ob Sie in einen Datenverstoß verwickelt sind – und was als nächstes zu tun ist
TrickBot wurde erstmals 2016 entdeckt ist ein Finanztrojaner die sich an die Kunden großer Banken richtet.
Der Trojaner wird am häufigsten mit Phishing-Kampagnen in Verbindung gebracht, die Benutzer dazu verleiten, ihre Anmeldedaten auf Phishing- und betrügerischen Banking-Websites einzugeben, die als legitime Dienste erscheinen sollen.
Online-Banking-Kunden aus der USA, Großbritannien, Australien und andere Länder werden häufig ins Visier genommen.
Laut Forschern von Webroot wurde die Malware „kontinuierlich aktualisiert und geändert, um den Verteidigern immer einen Schritt voraus zu sein“.
Jetzt wurde ein neues Modul installiert, das nicht nur die Entdeckung erschwert, sondern auch ein Sperrsystem nutzt, das einer Ransomware ähnelt.
Der Trojaner versucht bereits, die Microsoft-Windows-Schwachstelle auszunutzen EternalBlue Systeme zu infizieren, was mit Kampagnen in Verbindung gebracht wurde, die auch katastrophale Folgen hatten WannaCry-Kampagne von 2017.
In einem Blogbeitrag am MittwochForscher des Cybersicherheitsunternehmens sagten, dass Webroot am 15. März ein neues Modul, tabDll32, bemerkt habe / tabDll64, das von TrickBot im ersten Beispiel des verwendeten Systems heruntergeladen wurde wild.
Das intern als spreader_x86.dll bezeichnete Modul enthält zwei neue ausführbare Dateien, die die Fähigkeiten der Malware erweitern.
Wenn TrickBot ein System kompromittiert hat, installiert es sich selbst in einem TeamViewer-Verzeichnis und führt es aus. Dabei erstellt es einen „Modules“-Ordner, in dem verschlüsselte Plug-and-Play-Module gespeichert werden, auf die sich die Malware verlässt.
Es gibt bereits gut dokumentierte Injektor-, DLL-Manipulations- und Wurmmodule, aber jetzt fügt tabDll32 (Spreader_x86.dll) zwei Dateien hinzu, SsExecutor_x86.exe und screenLocker_x86.dll.
Spreader_x86.dll versucht, EternalBlue zur Verbreitung zu nutzen, aber das Modul scheint sich noch in der Entwicklung zu befinden, da es Hinweise darauf gibt, dass DLL-Injektormechanismen schnell aus GitHub-Repositorys kopiert wurden.
Die zweite Phase, SsExecutor_x86.exe, wird ausgeführt, nachdem der Exploit seine Aufgabe abgeschlossen hat. Diese ausführbare Datei versucht, Registrierungsnutzungsprofile zu übernehmen, um einen Link zum Startpfad des Trojaners hinzuzufügen, um die Persistenz aufrechtzuerhalten.
Die andere ausführbare Datei, ScreenLocker_x86.dll, ist eine interessante Datei, die versucht, die Computer der Opfer auf ähnliche Weise wie Ransomware zu „sperren“.
Das in Delphi geschriebene Modul scheint nicht vollständig zu sein, gibt uns aber einen interessanten Einblick in die Erpressungspläne des Betreibers.
„Wenn Sie den Computer eines Opfers sperren, bevor Sie seine Bankdaten stehlen können, wird das Opfer darüber informiert, dass es infiziert ist, und so die Möglichkeit eines Kreditkarten- oder Bankdiebstahls begrenzt“, sagt Webroot. „Allerdings ist es eine viel einfachere Monetarisierungsmethode, die Opfer zu erpressen, damit sie ihren Computer entsperren.“
Webroot sagt, dass das Modul erst eingesetzt wird, nachdem die Infektionsvektoren vollständig sind, und daher ist es wahrscheinlich, dass der Sperrcode verwendet wird, um „hauptsächlich auf nicht gepatchte Unternehmensnetzwerke abzuzielen“.
Da Firmenanwender seltener über das Netzwerk auf ihre Online-Bankkonten zugreifen, könnten Schließsysteme für den Trojaner zu einem Backup-Geldverdienersystem werden.
Siehe auch: Kryptografisches Zerknittern: Der Verschlüsselungs-„Mittelweg“ für die staatliche Überwachung
„Die TrickBot-Autoren zielen mit MS17-010 weiterhin auf verschiedene Finanzinstitute auf der ganzen Welt ab „Exploits in einem Versuch, sich erfolgreich seitlich im Netzwerk eines Opfers zu bewegen“, so die Forscher sagen. „Dies wird mit einem unvollendeten „screenLocker“-Modul in einem neuen möglichen Versuch gekoppelt, Geld von Opfern zu erpressen.“
Webroot fügte hinzu, dass sich TrickBot ständig weiterentwickelt und wir daher in Zukunft wahrscheinlich weitere Module und Funktionen mit der Malware verbinden werden.
Früher in diesem Monat, eine neue Kampagne mit dem Namen FlawedAmmyy wurde von Proofpoint-Forschern aufgedeckt. Die Kampagne nutzt Remote-Access-Trojaner, um PCs zu kompromittieren, Überwachungsmaßnahmen durchzuführen und sensible Daten zu stehlen.
10 Schritte zum Löschen Ihres digitalen Fußabdrucks
Bisherige und verwandte Berichterstattung
- Drei von fünf Fortune-500-Unternehmen sind von ManageEngine-Zero-Day-Schwachstellen betroffen
- Künstliche Intelligenz ist der Schlüssel, um bei der Sicherung von Cloud-Diensten für Unternehmen „mehr mit weniger“ zu erreichen
- The Dark Web: Wie viel ist Ihr Bankkonto wert?