Банкер Trickbot обзавелся прокси-модулем от IcedID

INC.

(L2) cache
Пользователь
Регистрация
03.02.2008
Сообщения
474
Оценка реакций
150
Баллы
46
Банковский троян Trickbot получил модуль для перехвата трафика зараженной машины. Теперь зловред способен внедрять собственные инжекты в данные, передаваемые между сайтом финансового учреждения и клиентским устройством. Специалисты предполагают, что расширение возможностей стало результатом сотрудничества авторов программы с разработчиками другого банкера — IcedID.

Неизвестный ранее модуль обнаружил ИБ-эксперт Брэд Данкан (Brad Duncan) при анализе полезной нагрузки, доставленной зловредом Ursnif. Специалист обнаружил, что обновленный вариант Trickbot внедряет в зараженную систему динамическую библиотеку shadnewDll, которая отвечает за изменение веб-трафика. Вредоносный компонент обладает собственным конфигурационным файлом и предназначен для MITB-атак. По мнению ИБ-аналитика Виталия Кремеца, модуль работает с интернет-обозревателями Chrome, Firefox, Internet Explorer и Edge.

Выявленная экспертами атака начиналась с доставки на компьютер файла Office, содержащего вредоносный PowerShell-сценарий для загрузки Ursnif. Оказавшись на скомпрометированной машине, зловред подгружает обновленный вариант Trickbot, который устанавливал сеанс связи с командным сервером и получал от него инструкции.

Изучение кода нового модуля выявило многочисленные совпадения с исходниками банковского трояна BokBot, также известного как IcedID. Специалисты выяснили, что зловред выполняет функции локального прокси-сервера и способен вставлять в передаваемый на машину трафик собственные скрипты. Таким образом, злоумышленники получают возможность отображать на экране жертвы фальшивые формы для ввода финансовых или учетных данных.

В прошлом году стало известно, что операторы IcedID и Trickbot стали проводить совместные атаки, доставляя на целевое устройства сразу два зловреда. ИБ-специалисты пришли к выводу, что подобное сотрудничество призвано увеличить эффективность киберкампаний с использованием сильных сторон каждой из программ. Скорее всего, злоумышленники делили полученную прибыль. Интеграция разработок на уровне вредоносных компонентов может свидетельствовать о новом этапе такого сотрудничества.


• Source: bleepingcomputer.com/news/security/trickbot-trojan-gets-icedid-proxy-module-to-steal-banking-info/
 
Верх