研究人员表示,TrickBot木马正在添加浏览器中间人(MitB)功能,用于窃取类似于早期银行木马Zeus的网上银行凭据,这可能预示着银行欺诈攻击即将到来。TrickBot是一种复杂(且常见)的模块化威胁,以窃取凭据和提供一系列后续勒索软件和其他恶意软件而闻名。但最初它是一个简单的银行木马,通过将毫无戒心的用户重定向到特制的恶意网站来获取网上银行凭证,没有太多的安全分析防御措施。据KryptosLogicThreatIntelligence的研究人员称,此功能由TrickBot的webinject模块启用。当受害者尝试访问目标URL(例如银行网站)时,TrickBotwebinject程序包会执行静态或动态Web注入以实现其目标:“静态注入类型会导致受害者被重定向到攻击者控制的副本目标站点,然后他们可以在那里收集凭据。”“动态注入类型透明地将服务器响应转发给TrickBot命令和控制服务器(C2),然后源代码会在其中被修改以包含恶意组件,并像来自合法站点一样返回给受害者。”据KryptosLogic称,在该模块的更新版本中,TrickBot添加了对“Zeus式网络注入配置”的支持——另一种将恶意代码动态注入目标银行站点的方法。Zeus研究人员解释说,直到2011年,当Zeus的源代码出现时被泄露后,它是犯罪软件世界中最流行的银行木马。从那时起,许多其他恶意软件已经挑选了各种功能并将它们合并到自己的代码中。“由于Zeus一直是银行恶意软件的黄金标准,Zeus风格webinjects非常流行,许多其他恶意软件家族支持Zeus风格的webinject语法以实现交叉兼容性,例如4Zloader、5Citadel等等。”研究人员在Zeus方法中,通过本地SOCKS代理流量来完成注入server-一种也可以在IcedID的man-In-browserwebinject模块中找到的方法。当受害者尝试访问目标URL(模块中许多硬编码之一)时,流经侦听代理的流量会相应地动态修改。为此,它会创建一个自签名TLS证书并将其添加到证书库中。“这个模块包含一个可以注入受害者浏览器的打包有效负载。它挂钩套接字API以将流量重定向到本地侦听SOCKS代理。它还挂钩“CertVerifyCertificateChainPolicy”和“CertGetCertificateChain”以确保没有证书错误显示给受害者。”更新后的模块取代了旧的功能,并以injectDll的名义推送给真正的受害者。该公司发现有32位和64位版本。TrickBot重返银行欺诈行业?KryptosLogic的研究人员解释说,鉴于TrickBot从银行木马时代发展到几乎完全专注于充当第一阶段的多用途恶意软件,这通常是勒索软件感染的先兆,因此这一发展值得注意。因此,在交付最终有效负载(同样,通常是勒索软件)之前,还经常看到在网络环境中执行横向传播。最近它甚至添加了bootkit功能。因此,这种更新webinject模块的新努力可能表明TrickBot的运营商正在重新加入银行欺诈战争。“webinject模块开发的恢复表明TrickBot打算重振其银行欺诈业务,该业务似乎已经搁置了一年多,”KryptosLogic研究人员总结道。“添加Zeus风格的webinjects可能对他们的恶意软件即服务平台意味着某种扩展,使用户能够带来自己的webinjects。”本文翻译自:https://threatpost.com/trickbot-banking-trojan-module/167521/
