TrickBot frischt sein Banking-Trojaner-Modul auf

  • Nachdem sich TrickBot im letzten Jahr fast ausschließlich auf die Verbreitung von Ransomware konzentriert hat, könnten die Code-Änderungen darauf hindeuten, dass er wieder in das Spiel mit dem Bankbetrug einsteigt.

    Der TrickBot-Trojaner fügt “Man-in-the-Browser”-Funktionen (MitB) zum Stehlen von Online-Banking-Zugangsdaten hinzu, die dem frühen Banking-Trojaner Zeus ähneln, so die Forscher – möglicherweise ein Hinweis auf eine kommende Flut von Betrugsangriffen.

    TrickBot ist eine ausgeklügelte (und weit verbreitete) modulare Bedrohung, die dafür bekannt ist, Anmeldeinformationen zu stehlen und eine Reihe von Folge-Ransomware und anderer Malware auszuliefern. Er begann jedoch als reiner Banking-Trojaner, der Online-Banking-Anmeldeinformationen abfing, indem er ahnungslose Benutzer auf bösartige Nachahmer-Websites umleitete.

    Laut den Forschern von Kryptos Logic Threat Intelligence wird diese Funktion durch das Webinject-Modul von TrickBot ausgeführt. Wenn das Opfer versucht, eine Ziel-URL (z. B. eine Bank-Website) zu besuchen, führt das TrickBot-Webinject-Paket entweder eine statische oder dynamische Webinjektion durch, um sein Ziel zu erreichen, wie die Forscher erklären:

    “Die statische Injektion führt dazu, dass das Opfer zu einer vom Angreifer kontrollierten Replik der beabsichtigten Zielseite umgeleitet wird, auf der dann Anmeldeinformationen abgegriffen werden können”, so die Forscher in einem Beitrag vom Donnerstag. “Der dynamische Injektions-Typ leitet die Server-Antwort transparent an den TrickBot Command-and-Control-Server (C2) weiter, wo die Quelle dann so modifiziert wird, dass sie bösartige Komponenten enthält, bevor sie an das Opfer zurückgesendet wird, als ob sie von der legitimen Website stammt.

    In der aktualisierten Version des Moduls hat TrickBot laut Kryptos Logic Unterstützung für “Webinject-Konfigurationen im Zeus-Stil” hinzugefügt – eine zusätzliche Möglichkeit zur dynamischen Injektion von bösartigem Code in die Zielseiten von Banken.

    Zeus für einen Thunderbolt von MitB anzapfen

    Zeus war einst der aufstrebende Banking-Trojaner in der Crimeware-Szene, bis 2011 sein Quellcode geleakt wurde. Seitdem haben sich mehrere Malwares verschiedene seiner Funktionalitäten herausgepickt, um sie in ihren eigenen Code einzubauen, erklärten die Forscher.

    “Da Zeus der Goldstandard für Banking-Malware war, sind Webinjects im Zeus-Stil extrem beliebt”, so die Forscher. “Es ist nicht ungewöhnlich, dass andere Malware-Familien die Webinject-Syntax von Zeus aus Gründen der Kompatibilität unterstützen (4Zloader, 5Citadel, um nur einige zu nennen).”

    Bei einem Zeus-Ansatz wird die Injektion durch Proxy-Verkehr über einen lokalen SOCKS-Server erreicht – ein Trick, der auch im Webinject-Modul von IcedID (Man-in-the-Browser) zu finden ist, so die Forscher. Wenn ein Opfer versucht, eine Ziel-URL zu besuchen (eine der vielen, die im Modul fest einkodiert sind), wird der Verkehr, der durch den abhörenden Proxy fließt, entsprechend dynamisch verändert.

    Die Forscher erklärten, dass es zu diesem Zweck ein selbstsigniertes TLS-Zertifikat erstellt und es dem Zertifikatspeicher hinzufügt.

    “Das Modul enthält eine gepackte Nutzlast, die in den Browser des Opfers injiziert wird, wo es Socket-APIs einhakt, um den Datenverkehr an einen lokal lauschenden SOCKS-Proxy umzuleiten, und es hakt auch ‘CertVerifyCertificateChainPolicy’ und ‘CertGetCertificateChain’ ein, um sicherzustellen, dass dem Opfer keine Zertifikatsfehler angezeigt werden”, heißt es in dem Posting.

    Das aktualisierte Modul wird unter dem Namen injectDll an echte Opfer verteilt und hat die alte Funktionalität ersetzt. Es gibt 32-Bit- und 64-Bit-Versionen, fand die Firma.

    TrickBot nimmt Bank-Betrugsoperationen wieder auf?

    Die Forscher von Kryptos Logic erklärten, dass diese Entwicklung bemerkenswert ist, da sich TrickBot von seiner Zeit als Banking-Trojaner weiterentwickelt hat und sich nun fast ausschließlich darauf konzentriert, als Mehrzweck-Malware der ersten Stufe zu agieren, die oft die Vorstufe zu einer Ransomware-Infektion darstellt. Außerdem wird er häufig bei der lateralen Ausbreitung in einer Netzwerkumgebung beobachtet, bevor er die endgültige Nutzlast (wiederum in der Regel Ransomware) ausliefert. Kürzlich hat er sogar eine Bootkit-Funktion hinzugefügt.

    Dieser neue Versuch, das Webinject-Modul aufzufrischen, könnte also darauf hindeuten, dass die Betreiber von TrickBot wieder in das Geschäft mit dem Bankenbetrug einsteigen wollen, so die Forscher.

    “Die Wiederaufnahme der Entwicklung des Webinject-Moduls deutet darauf hin, dass TrickBot beabsichtigt, seine Bankbetrugs-Operation wiederzubeleben, die anscheinend seit über einem Jahr auf Eis liegt”, so die Forscher von Kryptos Logic. “Die Hinzufügung von Webinjects im Stil von Zeus könnte auf eine Erweiterung ihrer Malware-as-a-Service-Plattform hindeuten, die es Benutzern ermöglicht, ihre eigenen Webinjects mitzubringen.”

    Schauen Sie sich unsere kostenlosen kommenden Live- und On-Demand-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com