Банковский троян Trickbot получил модуль для перехвата трафика зараженной машины. Теперь зловред способен внедрять собственные инжекты в данные, передаваемые между сайтом финансового учреждения и клиентским устройством. Специалисты предполагают, что расширение возможностей стало результатом сотрудничества авторов программы с разработчиками другого банкера — IcedID.

Неизвестный ранее модуль обнаружил ИБ-эксперт Брэд Данкан (Brad Duncan) при анализе полезной нагрузки, доставленной зловредом Ursnif. Специалист обнаружил, что обновленный вариант Trickbot внедряет в зараженную систему динамическую библиотеку shadnewDll, которая отвечает за изменение веб-трафика. Вредоносный компонент обладает собственным конфигурационным файлом и предназначен для MITB-атак. По мнению ИБ-аналитика Виталия Кремеца, модуль работает с интернет-обозревателями Chrome, Firefox, Internet Explorer и Edge.

Выявленная экспертами атака начиналась с доставки на компьютер файла Office, содержащего вредоносный PowerShell-сценарий для загрузки Ursnif. Оказавшись на скомпрометированной машине, зловред подгружает обновленный вариант Trickbot, который устанавливает сеанс связи с командным сервером и получает от него инструкции.

Изучение кода нового модуля выявило многочисленные совпадения с исходниками банковского трояна BokBot, также известного как IcedID. Специалисты выяснили, что зловред выполняет функции локального прокси-сервера и способен вставлять в передаваемый на машину трафик собственные скрипты. Таким образом, злоумышленники получают возможность отображать на экране жертвы фальшивые формы для ввода финансовых или учетных данных.

В прошлом году стало известно, что операторы IcedID и Trickbot стали проводить совместные атаки, доставляя на целевое устройства сразу два зловреда. ИБ-специалисты пришли к выводу, что подобное сотрудничество призвано увеличить эффективность киберкампаний с использованием сильных сторон каждой из программ. Скорее всего, злоумышленники делили полученную прибыль. Интеграция разработок на уровне вредоносных компонентов может свидетельствовать о новом этапе такого сотрудничества.

Категории: Аналитика, Вредоносные программы