Bank-Schädling TrickBot, ein Dyre-Abklatsch?

Obgleich die mutmaßlichen Autoren und Verbreiter von Dyre in Russland inhaftiert wurden, weist ein neuer Schädling, der jetzt in freier Wildbahn aufgetreten ist, so viel Ähnlichkeit mit diesem Bank-Trojaner auf, dass Forscher an eine mögliche Verbindung denken.

Der Auswahl der Web-Einschleusungen nach zu urteilen, interessiert sich der neue Bank-Schädling mit dem Namen TrickBot bisher nur für die Kunden australischer Banken. Eine von Fidelis Cybersecurity durchgeführte Analyse hat gezeigt, dass der neue Trojaner aussieht wie ein umgeschriebener Dyre. Die Forscher wiesen aber dennoch darauf hin, dass der Code von TrickBot trotz Ähnlichkeiten in einigen Aspekten (beispielsweise die Verwendung eines Ladeprogramms in beiden Fällen) auch Unterschiede gegenüber Dyre aufweist, die an einer verwandtschaftlichen Verbindung zweifeln lassen.

Laut dem Bericht von Fidelis, der am letzten Wochenende veröffentlicht wurde, ist TrickBot in C++ geschrieben, während Dyre in C programmiert ist. Der Neuling verwendet auch die Microsoft CryptoAPI anstelle integrierter AES- oder SHA256-Funktionen wie in Dyre. Schließlich interagiert TrickBot mit dem Taskmanager anstatt Befehle direkt auszuführen.

„Ausgehend von unseren Beobachtungen, können wir mit Überzeugung behaupten, dass eine klare Verbindung zwischen Dyre und TrickBot besteht, doch bei TrickBot haben die Entwickler neue Ideen einfließen lassen, und zwar in bedeutendem Umfang“, schreiben die Forscher. „Etwas weniger überzeugt sind wir zu dem Schluss gekommen, dass an der Arbeit an TrickBot mindestens ein Entwickler des ursprünglichen Dyre beteiligt war.“

Die mutmaßlichen Hintermänner von Dyre wurden im November vergangenen Jahres in Moskau verhaftet, nachdem zahlreichen Infektionsopfern Zugangsdaten zum Online-Banking und zu anderen wertvollen Accounts gestohlen worden waren. Dieser Bank-Schädling wurde via Spam-Mails verbreitet, die mit einem schädlichen Anhang oder einem Link auf eine infizierte Ressource ausgestattet waren.

Das Erste, das die Aufmerksamkeit der Forscher erregte, war der maßgeschneiderte Codierer von TrickBot, der für das Ladeprogramm TrickLoader vorgesehen ist. Denselben Codierer verwendeten auch die Autoren des Spam-Bots Cutwail; bemerkenswert ist, dass das riesige Botnet Pushdo/ Cutwail seinerzeit aktiv an der Vervielfältigung der Dyre-Population beteiligt war.

Im Lauf der Analyse von TrickBot wurde eine Reihe von Funktionen gefunden, die vergleichbar mit Funktionen in Dyre sind. „Dieser Bot ist mit einer sehr ähnlichen, allerdings leicht modifizierten Version des Decodierers für den C&C-Traffic ausgestattet, der vorher schon in Dyre zum Einsatz gekommen war“, erklären die Forscher. „Dieses Unterprogramm wird in diesem Fall zum Ver- und Entschlüsseln aller Daten verwendet. Der Algorithmus, den Dyre für die Generierung des AES-Schlüssels und des Initialisierungsvektors aus den ersten 48 Datenbyte basierend auf einer Rehashing-Methode verwendet, ist bekannt als ‚Funktion derive_key‘. In dem neuen Bot wurde dieses Funktion leicht verändert.“

Die ersten Samples von TrickBot, die bei Fideli analysiert wurden, waren auf das Zusammentragen von Informationen über das System ausgerichtet, allerdings wurde kürzlich ein neuer Bot entdeckt, der über ein Modul zum Einschleusen von Code in die im Browser angezeigte Seite verfügt.

„Obgleich es diesem Bot bisher noch an vielem fehlt, was früher in Dyre zu beobachten war, gibt es einen offensichtlichen Zusammenhang zwischen dem in diesem Schädling verwendeten Code und dem Dyre-Code“, schlussfolgern die Forscher. „Während sich der Bot allem Anschein nach noch in der Entwicklungsphase befindet, beeilen sich die Cyberkriminellen mit dem Umbau des Cutwail-Botnets, um es für künftige Spam-Versendungen fit zu machen. Man darf gespannt sein, ob es TrickBot gelingt, seinen Vorgänger einzuholen oder gar zu übertreffen, oder nicht.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.