Secureworks gefunden dass die Betreiber der TrickBot Trojan scheinen beschlossen zu haben SIM-Swap-Angriffe zu bekämpfen. Um dies zu tun, die TrickBot Betreiber stiehlt Benutzer’ PINs und ihre Konten in den Netzwerken von großen Mobilfunkbetreibern, einschließlich Sprint, T-Mobile und Verizon Wireless.
icht wird betont, dass TrickBot mit seiner Funktionalität ist kein separater Stamm; alle aktiven Versionen dieses Trojan erhalten solche Updates.Hinweis darauf, dass die Frage der SIM-Swap in den letzten Jahren wurde immer häufiger gesprochen. Das Wesen einer solchen betrügerisches System ist, dass der Täter die Kontrolle über die SIM-Karte und die Zahl seiner Opfer nimmt (Als Regel, die Vertreter der Mobilfunkbetreiber kontaktieren und Social-Engineering-Anwendung, aber auch andere Szenarien sind möglich).
Als Ergebnis, Der Angreifer erhält die volle Kontrolle über die Zahl der Opfer und alle Dienstleistungen, an dem sie befestigt ist, (einschließlich Bankkonten, E-Mail, und vieles mehr), sowie Einmalpasswörter, Zwei-Faktor-Authentisierungscodes, und so weiter.
„Die Situation verschlechtert sich deutlich aufgrund der Tatsache, dass TrickBot arbeitet nach dem Zugriff-as-a-Service-Modell, Das ist, die Trojaner die Operatoren erlauben anderen Hack Gruppen die Malware auf Computern mit TrickBot infiziert zu platzieren. Danke dafür, TrickBot Autoren haben bereits Kontakte mit anderen kriminellen Gruppen, und dies kann schnell verwendet werden, um auszutauschen oder gesammelte Daten über mobile Nutzer zu verkaufen“, – sagen Forscher Secure.
nach Ansicht der Forscher, TrickBot begann Verkehr für die Verizon Wireless Login-Seite auf August abfangen 5, 2019, während es begann zwei neue PIN Felder zum Verizon Standard-Login-Formular hinzugefügt. Diese Änderung wird leicht übersehen, wie Verizon anfordert in der Regel nicht eine PIN für die Website.
Für T-Mobile und Sprint, für die TrickBot begann Verkehr von August abzufangen 12 und August 19, alles sieht ein wenig anders. Statt für die Eingabe eines PIN-Codes ein separates gefälschte Feld hinzufügen, der Trojaner fügt dieses Feld als eine separate Seite, die nach einer erfolgreichen Anmeldung erscheint, Wie nachfolgend dargestellt.
lesen Sie auch: Die neue Version des Banking-Trojaner TrickBot „startet“ Windows Defender
Noch schlimmer, heute TrickBot ist eine der aktivsten Bedrohungen. Deshalb, selbst wenn der Benutzer nicht Opfer eines SIM-Swap-Angriff werden, er kann bald mit etwas anderem infiziert werden, Zum Beispiel, ein Bergarbeiter, Malware, Stehlen von Passwörtern von einem Browser, oder Ransomware.
Milderung:
Secureworks Forscher empfehlen, dass Unternehmen zeitbasierte Einmal-Passwort verwenden (TOTP) Multi-Faktor-Authentisierung (MFA) anstatt SMS MFA, wenn möglich. Ähnlich, Telefonnummern sollten nicht als Passwort-Reset-Optionen auf wichtige Konten verwendet werden. Aktivieren eine PIN auf mobile Konten bleibt eine umsichtige Betrugsbekämpfungsmaßnahme, die einen Angreifer erfordert eine zusätzliche Information über ihre beabsichtigten Opfer besitzen.
