Banking-Trojaner Trickbot erhielt ein Modul zum Abfangen des Verkehrs von einer infizierten Maschine.
Now, die Malware in der Lage, seine eigenen Injektionen in die Daten zwischen der Website des Finanzinstitutes und dem Client-Gerät übertragen zu injizieren.Experten vermuten, dass die Ausweitung der Möglichkeiten das Ergebnis der Zusammenarbeit der Autoren des Programms mit den Entwicklern eines anderen Banker war – IcedID.
Der Sicherheitsexperte Brad Duncan bisher unbekannten Modul entdeckt, während die Nutzlast gelieferten Analyse von Ursnif Malware.
Der Spezialist stellte fest, dass die aktualisierte Version von Trickbot spritzt die shadnewDll dynamische Bibliothek in das infizierte System, was ist verantwortlich für die Änderung des Web-Traffic. Die bösartige Komponente verfügt über eine eigene Konfigurationsdatei und ist für MITB Angriffe gedacht. Das Modul arbeitet mit Internet-Browser Chrome, Feuerfuchs, Internet Explorer und Edge-.
„Die Infektionskette beginnt mit einem Dokument bösartigen Office Word, das setzt ein Powershell-Skript, um die Ursnif Trojaner herunterladen. Der Host auf diese Weise kompromittiert empfängt auch die Trickbot Variante mit dem BokBot / IcedID Proxy-Modul, das abfangen und Web-Traffic ändern“, - sagte Brad Duncan.
Studie des Codes des neuen Moduls der enthüllten zahlreichen Zufälle mit dem Quellcode BokBot Banking-Trojaner, auch bekannt als IcedID. Die Spezialisten fanden heraus, dass die Malware die Funktionen eines lokalen Proxy-Server durchführt und ist in der Lage seine eigene Skripte in den Verkehr auf die Maschine übertragen Einfügen. Somit, Angreifer können auf dem Bildschirm des Opfers gefälschte Formulare für die Eingabe von Finanzdaten oder Anmeldeinformationen angezeigt werden.
Im vergangenen Jahr wurde bekannt, dass die Betreiber IcedID und Trickbot begann gemeinsame Attacken vornehmen, Bereitstellung von zwei schädliche Programme auf das Zielgerät auf einmal. Sicherheitsexperten haben festgestellt, dass eine solche Zusammenarbeit soll die Effektivität von Cyber-Kampagnen mit den Stärken eines jeden Programms zu erhöhen.
Integration von Entwicklungen auf der Ebene der bösartigen Komponenten kann eine neue Stufe dieser Zusammenarbeit zeigen.
jedoch, Experten aus FireEye, glauben, dass die Zusammenarbeit von Cyber-Kriminellen ist nicht darauf beschränkt.
“Die TrickBot Administratorgruppe, die steht im Verdacht, in Osteuropa zu beruhen, bietet höchstwahrscheinlich die Malware auf eine begrenzte Anzahl von Cyber-kriminellen Akteuren in Operationen verwenden,” – FireEye Forschung erklärt.
Wie GanbCrab jüngsten Erfahrung hat gezeigt, solche Modelle von bösen Jungs im Cyberspace der Kombination wirklich gefährlich sein und effektiv.
