Operatører av Trickbot og IcedID trojanere kombinert innsats og teknologi

Banking Trojan Trickbot fått en modul for å avskjære trafikken på en infisert maskin.

Now, malware er i stand til å injisere sine egne injeksjoner i de data som overføres mellom nettsiden til finansinstitusjonen og klientenheten.

Eksperter foreslår at utvidelsen av mulighetene ble resultatet av samarbeidet med forfatterne av programmet med utviklerne av annen bankmann – IcedID.

sikkerhetsekspert Brad Duncan oppdaget tidligere ukjent modulen mens analysering av nyttelasten levert av Ursnif malware.

Spesialisten fant at den oppdaterte versjonen av Trickbot injiserer shadnewDll dynamisk bibliotek inn i den infiserte systemet, som er ansvarlig for å endre web-trafikk. Den ondsinnede komponent har sin egen konfigurasjonsfil og er beregnet for MITB angrep. Modulen fungerer med nettlesere Chrome, Firefox, Internet Explorer og Edge.

Brad Dunkan
Brad Dunkan

“Infeksjonen kjeden starter med en ondsinnet Office Word-dokument, som distribuerer en Powershell script for å laste ned Ursnif trojan. Verten kompromittert på denne måten mottar også Trickbot varianten med den BokBot / IcedID proxy modul som kan fange opp og endre web-trafikk”, - sa Brad Duncan.

Studie av den nye modulen etiske avslørt mange tilfeldigheter med kildekoden BokBot banktjenester Trojan, også kjent som IcedID. Ekspertene fant ut at den skadelige utfører funksjonene til en lokal proxy server og er i stand til å sette inn sin egen skript i trafikken overføres til maskinen. Og dermed, angriperne er i stand til å vise på skjermen til offeret falske skjemaer for registrering finansielle detaljer eller legitimasjon.

I fjor ble det kjent at operatørene IcedID og Trickbot begynte å gjennomføre felles angrep, levere to ondsinnede programmer til målenheten på en gang. Sikkerhetsspesialister har konkludert med at et slikt samarbeid er utviklet for å øke effektiviteten av cyber kampanjer bruke styrkene til hvert program.

Integrasjon av utviklingen på nivået av skadelige komponenter kan indikere en ny fase av et slikt samarbeid.

derimot, eksperter fra FireEye, mener at samarbeidet med kriminelle ikke er begrenset til dette.

“Den TrickBot administratorgruppen, som er mistenkt for å være basert i Øst-Europa, mest sannsynlig gi malware til et begrenset antall cyber kriminelle aktører til bruk i drift,” – uttalte FireEye forskning.

Som GanbCrab nylige erfaring har vist, slike modeller for å kombinere skurkene i cyberspace kan være veldig farlig og effektiv.

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen