SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
24 Июль 2017

Trickbot нацелился на американские банки

Банковский троянец Trickbot начал атаковать клиентов американских банков через спам, щедро рассылаемый с ботнета Necurs.

Известный банкер стал еще эффективнее с приобретением кастомного механизма редиректа. Новую активность Trickbot обнаружили исследователи из IBM X-Force и Flashpoint. 

Согласно их наблюдениям, спам-рассылки, нацеленные на засев Trickbot, продолжаются уже несколько месяцев, а новейшая была проведена в начале прошлой недели. Flashpoint в своей блог-записи заострила внимание на смене мишеней зловреда. IBM подробно рассматривает редирект-атаки, используемые для кражи регистрационных данных, личностной информации и кодов аутентификации в системах онлайн-банкинга.

«Trickbot проводит атаки man-in-the-browser с середины 2016 года, однако до сих пор его веб-инжекты были ориентированы на финансовые институты за пределами США», – пишут Виталий Кремец и Пол Бёрбедж (Paul Burbage) в блоге Flashpoint. По словам исследователей, обновленный банкер использует «веб-инжекты в расширенной конфигурации», позволяющей атаковать клиентов международных и американских банков.

Flashpoint зафиксировала три отдельные спам-рассылки с ботнета Necurs. «Эти вредоносные письма снабжены упакованным в ZIP-архив вложением Windows Script File (WSF) с обфусцированным JavaScript-кодом, – рассказывают исследователи. – По клику этот файл загружается и исполняет загрузчик Trickbot. Первая волна спама использовала вредоносные WSF-скрипты как начальный вектор атаки, в дальнейшем кампания получила развитие и, по всей видимости, стала использовать документы с вредоносным макросом в качестве вложения».

После заражения троянец создает процесс, используя флаг CREATE_SUSPENDED, а затем внедряет свой модуль и завершает выполнение потока на запуск троянца. После этого в %APPDATA% создается папка, в которую Trickbot копирует себя, добавляя в %TEMP% файл сертификата authroot. Для сохранения присутствия обновленный зловред добавляет update[.]job как сервис в папку Windows Task. «Затем Trickbot сохраняет зашифрованный модуль конфигурации в раздел resource бинарного кода и по мере необходимости загружает дополнительные модули со своих контроллеров», – пишут Кремец и Бёрбедж.

Проведенный в Flashpoint анализ показал большое сходство Trickbot с другим известным банкером, Dyre. Пока предполагаемые операторы Dyre томятся за решеткой, Trickbot, по всей видимости, старается занять освободившуюся нишу, активно развиваясь и осваивая технологии конкурентов.

Новые трюки Trickbot

«TrickBot – первый и единственный банковский троянец, использующий редирект-схемы со столь широкой географией и большим языковым разнообразием, – отметила, в свою очередь, Лимор Кессем в отчете о новых атаках троянца. – Проведение и поддержка атак с редиректом требует больше ресурсов, чем динамические веб-инъекции».

«При простом перенаправлении браузера на другую страницу пользователь видит переход на следующий сайт и может заметить изменение URL, – продолжает эксперт. – В случае с Trickbot этого не происходит. Зловред перенаправляет жертву на поддельный сайт, размещенный на раздельных серверах, еще до того, как она увидит целевую страницу».

Осуществляя перехват и скрытно перенаправляя жертву на вредоносный сайт, банкер одновременно обращается к оригинальной странице банка и поддерживает с ней активную связь. «В результате подставная страница отображает в адресной строке корректный URL банка, а также подлинный цифровой сертификат, – поясняет Кессем. – Пользователь вряд ли заметит разницу или заподозрит, что попал на вредоносный сайт… Незаметно уводя жертву заражения с настоящего сайта банка, оператор зловреда может пустить в ход веб-инжекты для кражи учетных данных, идентифицирующей личность информации и ценных кодов аутентификации на точной копии сайта. При этом банк даже не заподозрит, что сессия пользователя скомпрометирована, и не обнаружит поток событий на поддельном сайте».

Согласно наблюдениям IBM X-Force, за последние месяцы операторы Trickbot расширили список испанских мишеней: «Ранее зловред был нацелен лишь на один банк в Испании, ныне он атакует шесть брэндов в этой стране». В своем отчете IBM также привела индикаторы заражения – хэши MD5 9a1d8e19b0622df7de1e0034e710b5a8 и 0e09c2aa13515fc10b5e352cbfab37b7.


Скачайте SafeUM — общайтесь приватно, без рекламы и спама.

Теги:
Trickbot троян США мошенничество утечка информации
Источник:
Threatpost
1331
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015