研究人员表示,TrickBot木马正在添加浏览器中间人(MitB)功能,用于窃取类似于早期银行木马Zeus的在线银行凭证,这可能预示着银行欺诈攻击即将到来。
TrickBot是一种复杂(且常见)的模块化威胁,以窃取凭据并提供一系列后续勒索软件和其他恶意软件而闻名。但最初它只是一个功能简单的银行木马,通过将毫无戒心的用户重定向到特制的恶意网站来获取网上银行凭证,并没有太多对抗安全分析的技术。
据Kryptos Logic Threat Intelligence的研究人员称,此功能由TrickBot的webinject模块实现。当受害者尝试访问目标URL(如银行网站)时,TrickBot webinject包会执行静态或动态Web注入以实现其目标:
“静态注入类型会导致受害者被重定向到攻击者控制的目标站点的副本,然后他们可以在那里收集凭据。”“动态注入类型将服务器响应透明地转发到TrickBot命令和控制服务器(C2),然后在那里修改源以包含恶意组件,然后返回给受害者,就好像它来自合法站点一样。”
根据Kryptos Logic的说法,在模块的更新版本中,TrickBot增加了对“Zeus风格的webinject配置”的支持——这是将恶意代码动态注入目标银行站点目的地的另一种方法。
Zeus
研究人员解释说,直到2011年,Zeus的源代码被泄露之前,它都曾是犯罪软件领域最为流行的银行木马。自那以后,其他的很多恶意软件都挑选了其中的各种功能并合并到自己的代码中。
“由于Zeus一直是银行恶意软件的黄金标准,Zeus风格的webinjects非常受欢迎,很多其他的恶意软件家族都支持Zeus风格的webinject语法,从而实现交叉兼容性,如4Zloader、5Citadel等等。”
研究人员表示,在Zeus方法中,注入是通过本地SOCKS服务器代理流量来完成的——这一方法也可以在IcedID的man-In-browser webinject模块中找到。当受害者尝试访问目标URL(模块中许多硬编码的URL之一)时,流经侦听代理的流量会相应地动态修改。为了实现这一点,它创建了一个自签名的TLS证书并将其添加到证书存储中。
“该模块包含一个打包的有效负载,可以注入受害者的浏览器,它会钩住套接字API以将流量重定向到本地侦听SOCKS代理,它还钩住“CertVerifyCertificateChainPolicy”和“CertGetCertificateChain”以确保不会向受害者显示证书错误。”
更新后的模块取代了旧有的功能,以injectDll的名义被推送给真正的受害者。该公司发现,有32位和64位两种版本。
TrickBot恢复银行欺诈业务?
Kryptos Logic的研究人员解释说,鉴于TrickBot已经从银行木马时代发展到几乎完全专注于充当第一阶段、多用途恶意软件,这一发展非常值得我们注意,因为这些恶意软件通常是勒索软件感染的前兆。因此,在交付最终有效载荷(同样,通常是勒索软件)之前,还经常看到它在整个网络环境中执行横向传播。最近它甚至增加一个bootkit函数。
因此,这项更新webinject模块的新努力可能表明TrickBot的运营商正在重新卷入银行业欺诈战。
Kryptos Logic研究人员总结道:“webinject模块的恢复开发表明TrickBot打算恢复其银行欺诈业务,该业务似乎已被搁置了一年多。”“添加Zeus风格的webinjects可能意味着他们的恶意软件即服务平台的扩展,使用户能够携带自己的webinjects。”
本文翻译自:https://threatpost.com/trickbot-banking-trojan-module/167521/