Banking Trojan Trickbot modtog et modul til aflytning af trafikken af en inficeret maskine.
Now, malwaren er i stand til at injicere sine egne injektioner i de indberettede data mellem hjemmesiden af den finansielle institution og klientenheden.Eksperter foreslår, at udvidelsen af mulighederne var resultatet af et samarbejde af forfatterne af programmet med udviklerne af en anden bankmand – IcedID.
Sikkerhed ekspert Brad Duncan opdaget hidtil ukendte modul mens analysere nyttelast leveret af Ursnif Malware.
Specialisten fandt, at den opdaterede version af Trickbot sprøjter shadnewDll dynamisk bibliotek i det inficerede system, som er ansvarlig for at ændre webtrafik. Den ondsindede komponent har sin egen konfigurationsfil og er beregnet til MITB angreb. Modulet arbejder med internetbrowsere Chrome, Firefox, Internet Explorer og Edge.
”Infektionen kæde starter med en ondsindet Office Word-dokument, der udsender et PowerShell script til at hente Ursnif trojan. Værten kompromitteret på denne måde modtager også Trickbot varianten med BokBot / IcedID proxy-modul, der kan opfange og ændre webtrafik”, - sagde Brad Duncan.
Undersøgelse af det nye modul code of de åbenbarede mange sammenfald med kildekoden til BokBot bank Trojan, også kendt som IcedID. Specialisterne fandt ud af at malware varetager en lokal proxy server og er i stand til at indsætte sine egne scripts ind i trafikken sendes til maskinen. Dermed, angribere er i stand til at vise på skærmen af offeret falske formularer til indtastning finansielle detaljer eller legitimationsoplysninger.
Sidste år blev det kendt, at operatørerne IcedID og Trickbot begyndte at gennemføre fælles angreb, levere to ondsindede programmer til målet enheden på en gang. Sikkerhed specialister har konkluderet, at et sådant samarbejde er designet til at øge effektiviteten af cyber-kampagner ved hjælp af de stærke sider af hvert program.
Integration af udviklingen på niveau med ondsindede komponenter kan indikere en ny fase af et sådant samarbejde.
imidlertid, Eksperter fra FireEye, mener, at samarbejdet med cyberkriminelle ikke er begrænset til dette.
“Gruppen TrickBot administrator, som formodes at være baseret i Østeuropa, sandsynligvis give malware til et begrænset antal cyber kriminelle aktører til at bruge i operationer,” – erklærede FireEye forskning.
Som GanbCrab nylige erfaring har vist, sådanne modeller for at kombinere skurke i cyberspace kan være virkelig farligt og effektiv.
