Banking Trojan Trickbot recebeu um módulo para interceptar o tráfego de uma máquina infectada.
Now, o malware é capaz de injetar suas próprias injeções para os dados transmitidos entre o site da instituição financeira e o dispositivo cliente.Os especialistas sugerem que a expansão das oportunidades foi o resultado da cooperação dos autores do programa com os desenvolvedores de outro banqueiro – IcedID.
O especialista em segurança Brad Duncan descobriu módulo previamente desconhecido ao analisar a carga entregue por Ursnif Malware.
O especialista descobriu que a versão atualizada do Trickbot injeta o shadnewDll biblioteca dinâmica no sistema infectado, que é responsável por mudar o tráfego na web. O componente malicioso tem seu próprio arquivo de configuração e destina-se a ataques MITB. O módulo funciona com os navegadores Internet Chrome, Raposa de fogo, Internet Explorer e Edge.
“A cadeia de infecção começa com um documento malicioso Office Word, que implanta um script PowerShell para baixar o trojan Ursnif. O anfitrião comprometido dessa forma também recebe a variante Trickbot com o módulo de proxy BokBot / IcedID que pode interceptar e modificar o tráfego na web”, - disse Brad Duncan.
Estudo do código do novo módulo das inúmeras coincidências reveladas com o código fonte de BokBot Trojan bancário, também conhecido como IcedID. Os especialistas descobriram que o malware desempenha as funções de um servidor proxy local e é capaz de inserir seus próprios scripts para o tráfego transmitido à máquina. portanto, atacantes são capazes de exibir na tela da vítima formulários falsos para entrar detalhes financeiros ou credenciais.
No ano passado, tornou-se conhecido que o IcedID operadores e Trickbot começou a realizar ataques conjuntos, entrega de dois programas maliciosos para o dispositivo de destino de uma só vez. Os especialistas em segurança concluíram que essa cooperação é projetado para aumentar a eficácia das campanhas virtuais usando os pontos fortes de cada programa.
Integração dos desenvolvimentos ao nível das componentes maliciosos podem indicar uma nova fase desta cooperação.
Contudo, especialistas de FireEye, Acreditamos que a cooperação dos cibercriminosos não se limita a este.
“O grupo de administradores TrickBot, que é suspeito de ser baseada na Europa Oriental, mais provável fornecer o malware a um número limitado de atores criminosos cibernéticos para usar em operações,” – declarou pesquisa da FireEye.
Como GanbCrab da recente experiência mostrou, tais modelos de combinar bandidos no ciberespaço pode ser muito perigoso e eficaz.
