News

IBM über Neueinführungen in TrickBot

Nach Angaben von IBM X-Force hat der Bank-Trojaner TrickBot sein Zielspektrum erweitert und auch sein Arsenal an Werkzeugen zur Browser-Manipulation ausgebaut.

„Wir erwarten eine Ausweitung der Schadkampagnen und betrügerischen Angriffe, die sich höchst zielgerichtet gegen Geschäfts- und Unternehmenskonten richten“, schreibt die leitende IT-Sicherheitsexpertin bei IMB, Limor Kessem, in ihrem Blog.

In den letzten drei Monaten hat TrickBot laut Kessem bezüglich Entwicklung und Tests eine rasante Evolution durchgemacht. Jetzt ist er vollständig funktionsfähig und demonstriert die „fortschrittlichsten Browsermanipulationstechniken, die wir in den letzten Jahren bei Bankenschädlingen beobachten konnten“, insbesondere serverseitige Einschleusung und Umleitung. Und während sich TrickBot anfangs hauptsächlich für Konten bei australischen Banken interessiert hat, so greift er nun auch Finanzinstitute in Neuseeland, Großbritannien, Deutschland und Kanada an.

Nach Angaben von Kessem wurde der neue Trojaner anfangs gar nicht als Banken-Schädling angesehen, doch im Oktober erlangte er die Fähigkeit zu Webeinschleusungen und damit wurde seine Bestimmung eindeutig. Im laufenden Monat bemerkten die Forscher, dass sich die Taktik von TrickBot geändert hatte. „Anfang November änderte sich sein Aktionsradius praktisch über Nacht, als die Betreiber von TrickBot zwei neue Konfigurationen einführten“, erzählt Kessem. Das ist mehr als nur das Hinzufügen von URL in den Einstellung – für die neuen Ziele, britische Banken, wurden maßgeschneiderte Redirects erstellt. Das ist eine sehr fortschrittliche Methode zur Manipulation dessen, was der Nutzer im Browser sieht.“

Unter Berücksichtigung der Analyseergebnisse von TrickBot und dem Tempo, mit dem der Schädling entwickelt wurde, schlussfolgerte die Expertin, dass die Betrüger die Redirects im Vorwege entwickelt haben, vor Durchführung der neuen Kampagnen, oder dass sie sie einfach bei einer anderen Gruppe gekauft haben.

TrickBot wird nach Angaben von IBM über schädliche Werbung im Paket mit dem Exploit-Pack RIG verbreitet und auch mit Hilfe von Anhängen an Spam-Mails und Office-Makros. Im letztgenannten Fall liefert der Downloader Godzilla den Banker aus. Dabei führen die Verbreiter des Schädlings immer häufiger eng begrenzte Versendungen durch, was die Forscher in der Meinung bestärkte, dass TrickBot sich in erster Linie für Geschäftskonten interessiert. „Sie verschicken schädliches Spam an Unternehmen und führen nicht einfach eine E-Mail-Versendung an willkürliche Absender durch“, konstatiert Kessem. Für TrickBot ist das eine weitere Neueinführung.

Man könnte also sagen, dass die einzige Konstante im Dasein von TrickBot der Wandel ist. „Die Infektionsmethoden können sich jederzeit erneut verändern“, warnt Kessem.

Die Expertin vermutet, dass der Grund für die ständige Weiterentwicklung dieses Trojaners die Zusammenarbeit seiner Betreiber mit anderen Malware-Verbreitern und Botmastern ist. Für diese Annahme spricht auch die Tatsache, dass TrickBot denselben Codierer (genauer gesagt Downloader) wie das Cutwail-Botnetz und der Bankenschädling Vawtrak verwendet. Auf diese Besonderheit wiesen auch die Forscher von Fidelis Cybersecurity in ihrem Bericht über TrickBot hin, der im vergangenen Monat veröffentlicht wurde. Fidelis sieht zudem gewisse Ähnlichkeiten zwischen TrickBot und Dyre.

Quelle: Threatpost

IBM über Neueinführungen in TrickBot

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach