Detta banking-malware har precis lagt lösenord och webbläsarhistoriken stjäla till sin playbook

0
68

Noll

Den Trickbot bank-malware har lagt ännu ett verktyg för sin arsenal, så att brottslingar för att stjäla lösenord och stjäla data, inklusive webb-historia och användarnamn.

Malware för första gången i år 2016, initialt inriktat på att stjäla bank-referenser – men Trickbot är mycket anpassningsbar och har genomgått en rad uppdateringar sedan dess. Den senaste trick – plockas upp av forskare på både Trend Micro och Fortinet – är tillägg av en ny modul avsedd att stjäla lösenord.

Denna nya Trickbot variant dök upp i oktober och ska levereras till offer via en skadlig Excel-dokument.

Som många former av malware, skadlig paket sprids via makron: användaren berättade att deras dokument har skapats i en tidigare version av Excel och att de måste “aktivera innehåll” för att visa filen. Detta gör att makron kan köras och utför skadliga VBS kod som sparkar igång processen för skadlig programvara att ladda ner.

sepreport-fortinet-trickbot.png

Sep_report.xls figuranten dokument som används för att leverera Trickbot.

Bild: Fortinet

Utförandet går igenom ett antal processer, som kulminerade i PowerShell som exekveras för att ladda ner en sista nyttolasten från en falsk Microsoft Office Excel-adress.

Denna nyttolast – pointer.exe – är TrickBot själv, som är listad som “”pointes.exe” en gång installerat. I likhet med tidigare versioner av skadlig kod, det ständigt installerar sig i systemets Schemaläggaren så att den kan köras automatiskt när maskinen är i drift.

Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara

Efter det har funnits för lite tid, det hämtar en ny modul – pwgrab32. Enligt Fortinet, just denna modul först uppstod i mitten av oktober och som namnet antyder, den är designad för att ta lösenord information från offrets system.

Lösenordet grabber kan stjäla inloggningsuppgifter form program som Filezilla, Microsoft Outlook, och WinSCP, eventuellt tillhandahålla alla typer av information om den infekterade maskinen.

Förutom att stjäla inloggningsuppgifter från applikationer, Trickbot också stjäl information från webbläsare, inklusive användarnamn och lösenord, internet, cookies, webbhistorik, autofyll och HTTP inlägg. Alla dessa kan utnyttjas för att gör det möjligt för angripare att göra av med ytterligare data – och det fungerar på Google Chrome, Mozilla Firefox, Internet Explorer och Microsoft Kanten webbläsare.

Ytterligare en av denna lösenord stealer gör Trickbot och ännu mer kraftfullt, med förmåga att stjäla inloggningsuppgifter från hela webben – att sätta offer på risken för stöld och bedrägeri på mer än bara sitt bankkonto.

Trickbot s grundläggande förmåga som en bank trojan är också övervakning användare och vilken bank Webbadresser de har tillgång till, inklusive de av institutioner i Usa, Kanada, STORBRITANNIEN, Tyskland, Australien, Österrike, Irland och Schweiz. Den skadliga program använder en av två metoder – referens utvinning, eller en falsk phishing-sida som ser ut som den äkta varan – att få användarens inloggningsuppgifter och få tillgång till kontot.

Skadliga program fortsätter att uppdatera banktrojaner som Trickbot och Emotet för att säkerställa att de kan förbli oupptäckt så länge som möjligt. Med hjälp av en robust säkerhet paket kan gå några sätt att hindra användare från att falla offer för attacker – så kan utbildning om hur man undviker att upptäcka misstänkta e-postmeddelanden som levererar denna typ av hot.

LÄS MER OM IT-RELATERAD BROTTSLIGHET

Phishing-attacker: Varför är e-post fortfarande en lätt måltavla för hackare? En paranoid ‘ s guide till internet [MAG] Lösenord och kreditkort stjäl Azorult malware lägger till nya knep förEnkel men mycket effektiv: i världens mest produktiva mobila banktjänster malware [TechRepublic]Denna nya trojan malware använder läckt ut källkoden för äkta programvara för att snoka på dig

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0