IBM über Neueinführungen in TrickBot

Nach Angaben von IBM X-Force hat der Bank-Trojaner TrickBot sein Zielspektrum erweitert und auch sein Arsenal an Werkzeugen zur Browser-Manipulation ausgebaut.

„Wir erwarten eine Ausweitung der Schadkampagnen und betrügerischen Angriffe, die sich höchst zielgerichtet gegen Geschäfts- und Unternehmenskonten richten“, schreibt die leitende IT-Sicherheitsexpertin bei IMB, Limor Kessem, in ihrem Blog.

In den letzten drei Monaten hat TrickBot laut Kessem bezüglich Entwicklung und Tests eine rasante Evolution durchgemacht. Jetzt ist er vollständig funktionsfähig und demonstriert die „fortschrittlichsten Browsermanipulationstechniken, die wir in den letzten Jahren bei Bankenschädlingen beobachten konnten“, insbesondere serverseitige Einschleusung und Umleitung. Und während sich TrickBot anfangs hauptsächlich für Konten bei australischen Banken interessiert hat, so greift er nun auch Finanzinstitute in Neuseeland, Großbritannien, Deutschland und Kanada an.

Nach Angaben von Kessem wurde der neue Trojaner anfangs gar nicht als Banken-Schädling angesehen, doch im Oktober erlangte er die Fähigkeit zu Webeinschleusungen und damit wurde seine Bestimmung eindeutig. Im laufenden Monat bemerkten die Forscher, dass sich die Taktik von TrickBot geändert hatte. „Anfang November änderte sich sein Aktionsradius praktisch über Nacht, als die Betreiber von TrickBot zwei neue Konfigurationen einführten“, erzählt Kessem. Das ist mehr als nur das Hinzufügen von URL in den Einstellung – für die neuen Ziele, britische Banken, wurden maßgeschneiderte Redirects erstellt. Das ist eine sehr fortschrittliche Methode zur Manipulation dessen, was der Nutzer im Browser sieht.“

Unter Berücksichtigung der Analyseergebnisse von TrickBot und dem Tempo, mit dem der Schädling entwickelt wurde, schlussfolgerte die Expertin, dass die Betrüger die Redirects im Vorwege entwickelt haben, vor Durchführung der neuen Kampagnen, oder dass sie sie einfach bei einer anderen Gruppe gekauft haben.

TrickBot wird nach Angaben von IBM über schädliche Werbung im Paket mit dem Exploit-Pack RIG verbreitet und auch mit Hilfe von Anhängen an Spam-Mails und Office-Makros. Im letztgenannten Fall liefert der Downloader Godzilla den Banker aus. Dabei führen die Verbreiter des Schädlings immer häufiger eng begrenzte Versendungen durch, was die Forscher in der Meinung bestärkte, dass TrickBot sich in erster Linie für Geschäftskonten interessiert. „Sie verschicken schädliches Spam an Unternehmen und führen nicht einfach eine E-Mail-Versendung an willkürliche Absender durch“, konstatiert Kessem. Für TrickBot ist das eine weitere Neueinführung.

Man könnte also sagen, dass die einzige Konstante im Dasein von TrickBot der Wandel ist. „Die Infektionsmethoden können sich jederzeit erneut verändern“, warnt Kessem.

Die Expertin vermutet, dass der Grund für die ständige Weiterentwicklung dieses Trojaners die Zusammenarbeit seiner Betreiber mit anderen Malware-Verbreitern und Botmastern ist. Für diese Annahme spricht auch die Tatsache, dass TrickBot denselben Codierer (genauer gesagt Downloader) wie das Cutwail-Botnetz und der Bankenschädling Vawtrak verwendet. Auf diese Besonderheit wiesen auch die Forscher von Fidelis Cybersecurity in ihrem Bericht über TrickBot hin, der im vergangenen Monat veröffentlicht wurde. Fidelis sieht zudem gewisse Ähnlichkeiten zwischen TrickBot und Dyre.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.