[[409550]]

研究人員表示，TrickBot木馬正在添加瀏覽器中間人(MitB)功能，用于竊取類似于早期銀行木馬Zeus的在線銀行憑證，這可能預(yù)示著銀行欺詐攻擊即將到來。

TrickBot是一種復(fù)雜(且常見)的模塊化威脅，以竊取憑據(jù)并提供一系列后續(xù)勒索軟件和其他惡意軟件而聞名。但最初它只是一個(gè)功能簡單的銀行木馬，通過將毫無戒心的用戶重定向到特制的惡意網(wǎng)站來獲取網(wǎng)上銀行憑證，并沒有太多對抗安全分析的技術(shù)。

據(jù)Kryptos Logic Threat Intelligence的研究人員稱，此功能由TrickBot的webinject模塊實(shí)現(xiàn)。當(dāng)受害者嘗試訪問目標(biāo)URL(如銀行網(wǎng)站)時(shí)，TrickBot webinject包會(huì)執(zhí)行靜態(tài)或動(dòng)態(tài)Web注入以實(shí)現(xiàn)其目標(biāo)：

“靜態(tài)注入類型會(huì)導(dǎo)致受害者被重定向到攻擊者控制的目標(biāo)站點(diǎn)的副本，然后他們可以在那里收集憑據(jù)。”“動(dòng)態(tài)注入類型將服務(wù)器響應(yīng)透明地轉(zhuǎn)發(fā)到TrickBot命令和控制服務(wù)器(C2)，然后在那里修改源以包含惡意組件，然后返回給受害者，就好像它來自合法站點(diǎn)一樣。”

根據(jù)Kryptos Logic的說法，在模塊的更新版本中，TrickBot增加了對“Zeus風(fēng)格的webinject配置”的支持——這是將惡意代碼動(dòng)態(tài)注入目標(biāo)銀行站點(diǎn)目的地的另一種方法。

Zeus

研究人員解釋說，直到2011年，Zeus的源代碼被泄露之前，它都曾是犯罪軟件領(lǐng)域最為流行的銀行木馬。自那以后，其他的很多惡意軟件都挑選了其中的各種功能并合并到自己的代碼中。

“由于Zeus一直是銀行惡意軟件的黃金標(biāo)準(zhǔn)，Zeus風(fēng)格的webinjects非常受歡迎，很多其他的惡意軟件家族都支持Zeus風(fēng)格的webinject語法，從而實(shí)現(xiàn)交叉兼容性，如4Zloader、5Citadel等等。”

研究人員表示，在Zeus方法中，注入是通過本地SOCKS服務(wù)器代理流量來完成的——這一方法也可以在IcedID的man-In-browser webinject模塊中找到。當(dāng)受害者嘗試訪問目標(biāo)URL(模塊中許多硬編碼的URL之一)時(shí)，流經(jīng)偵聽代理的流量會(huì)相應(yīng)地動(dòng)態(tài)修改。為了實(shí)現(xiàn)這一點(diǎn)，它創(chuàng)建了一個(gè)自簽名的TLS證書并將其添加到證書存儲中。

“該模塊包含一個(gè)打包的有效負(fù)載，可以注入受害者的瀏覽器，它會(huì)鉤住套接字API以將流量重定向到本地偵聽SOCKS代理，它還鉤住“CertVerifyCertificateChainPolicy”和“CertGetCertificateChain”以確保不會(huì)向受害者顯示證書錯(cuò)誤。”

更新后的模塊取代了舊有的功能，以injectDll的名義被推送給真正的受害者。該公司發(fā)現(xiàn)，有32位和64位兩種版本。

TrickBot恢復(fù)銀行欺詐業(yè)務(wù)?

Kryptos Logic的研究人員解釋說，鑒于TrickBot已經(jīng)從銀行木馬時(shí)代發(fā)展到幾乎完全專注于充當(dāng)?shù)谝浑A段、多用途惡意軟件，這一發(fā)展非常值得我們注意，因?yàn)檫@些惡意軟件通常是勒索軟件感染的前兆。因此，在交付最終有效載荷(同樣，通常是勒索軟件)之前，還經(jīng)?？吹剿谡麄€(gè)網(wǎng)絡(luò)環(huán)境中執(zhí)行橫向傳播。最近它甚至增加一個(gè)bootkit函數(shù)。

因此，這項(xiàng)更新webinject模塊的新努力可能表明TrickBot的運(yùn)營商正在重新卷入銀行業(yè)欺詐戰(zhàn)。

Kryptos Logic研究人員總結(jié)道：“webinject模塊的恢復(fù)開發(fā)表明TrickBot打算恢復(fù)其銀行欺詐業(yè)務(wù)，該業(yè)務(wù)似乎已被擱置了一年多。”“添加Zeus風(fēng)格的webinjects可能意味著他們的惡意軟件即服務(wù)平臺的擴(kuò)展，使用戶能夠攜帶自己的webinjects。”

本文翻譯自：https://threatpost.com/trickbot-banking-trojan-module/167521/