Troyano bancario Trickbot recibió un módulo para interceptar el tráfico de una máquina infectada.
norteay, el malware es capaz de inyectar sus propias inyecciones en los datos transmitidos entre el sitio web de la institución financiera y el dispositivo cliente.Los expertos sugieren que la expansión de las oportunidades fue el resultado de la cooperación de los autores del programa con los desarrolladores de otro banquero – IcedID.
El experto en seguridad brad Duncan Módulo descubierto hasta ahora desconocido, mientras que el análisis de la carga útil entregado por Ursnif Malware.
El especialista encontró que la versión actualizada de Trickbot inyecta el shadnewDll librería dinámica en el sistema infectado, que es responsable de cambiar el tráfico web. El componente malicioso tiene su propio archivo de configuración y está destinado a ataques MITB. El módulo funciona con los navegadores de Internet Chrome, Firefox, Internet Explorer y Edge.
“La cadena de infección comienza con un documento de Office Word malicioso, que despliega una secuencia de comandos PowerShell para descargar el troyano Ursnif. El anfitrión comprometido de esta manera también recibe la variante Trickbot con el módulo de proxy BokBot / IcedID que puede interceptar y modificar el tráfico de Internet”, - dijo Brad Duncan.
Estudio del código del nuevo módulo de las numerosas coincidencias reveladas con el código fuente de BokBot troyano bancario, también conocido como IcedID. Los especialistas descubrieron que el malware realiza las funciones de un servidor proxy local y es capaz de insertar sus propias secuencias de comandos en el tráfico transmitido a la máquina. Así, atacantes son capaces de mostrar en la pantalla de la víctima formas falsos para entrar en los detalles financieros o credenciales.
El año pasado se supo que el IcedID operadores y Trickbot comenzaron a realizar ataques conjuntos, la entrega de dos programas maliciosos al dispositivo de destino a la vez. Los especialistas en seguridad han llegado a la conclusión de que esa cooperación se ha diseñado para aumentar la eficacia de las campañas cibernéticos utilizando los puntos fuertes de cada programa.
Integración de los resultados a nivel de los componentes maliciosos puede indicar una nueva etapa de dicha cooperación.
sin embargo, Los expertos de FireEye, cree que la cooperación de los delincuentes no se limita a esta.
“El grupo de administradores TrickBot, que se sospecha que basarse en Europa del Este, más probable es proporcionar el malware a un número limitado de actores criminales cibernéticos para su uso en operaciones,” – declarado investigación de FireEye.
Como GanbCrab de reciente experiencia ha mostrado, dichos modelos de combinación de los malos en el ciberespacio puede ser muy peligroso y eficaz.
