Банковский троянец Trickbot начал атаковать клиентов американских банков через спам, щедро рассылаемый с ботнета Necurs. Известный банкер стал еще эффективнее с приобретением кастомного механизма редиректа.

Новую активность Trickbot обнаружили исследователи из IBM X-Force и Flashpoint. Согласно их наблюдениям, спам-рассылки, нацеленные на засев Trickbot, продолжаются уже несколько месяцев, а новейшая была проведена в начале прошлой недели.

Flashpoint в своей блог-записи заострила внимание на смене мишеней зловреда. IBM подробно рассматривает редирект-атаки, используемые для кражи регистрационных данных, личностной информации и кодов аутентификации в системах онлайн-банкинга.

«Trickbot проводит атаки man-in-the-browser с середины 2016 года, однако до сих пор его веб-инжекты были ориентированы на финансовые институты за пределами США», – пишут Виталий Кремец и Пол Бёрбедж (Paul Burbage) в блоге Flashpoint. По словам исследователей, обновленный банкер использует «веб-инжекты в расширенной конфигурации», позволяющей атаковать клиентов международных и американских банков.

Flashpoint зафиксировала три отдельные спам-рассылки с ботнета Necurs. «Эти вредоносные письма снабжены упакованным в ZIP-архив вложением Windows Script File (WSF) с обфусцированным JavaScript-кодом, – рассказывают исследователи. – По клику этот файл загружается и исполняет загрузчик Trickbot. Первая волна спама использовала вредоносные WSF-скрипты как начальный вектор атаки, в дальнейшем кампания получила развитие и, по всей видимости, стала использовать документы с вредоносным макросом в качестве вложения».

После заражения троянец создает процесс, используя флаг CREATE_SUSPENDED, а затем внедряет свой модуль и завершает выполнение потока на запуск троянца. После этого в %APPDATA% создается папка, в которую Trickbot копирует себя, добавляя в %TEMP% файл сертификата authroot. Для сохранения присутствия обновленный зловред добавляет update[.]job как сервис в папку Windows Task. «Затем Trickbot сохраняет зашифрованный модуль конфигурации в раздел resource бинарного кода и по мере необходимости загружает дополнительные модули со своих контроллеров», – пишут Кремец и Бёрбедж.

Проведенный в Flashpoint анализ показал большое сходство Trickbot с другим известным банкером, Dyre. Пока предполагаемые операторы Dyre томятся за решеткой, Trickbot, по всей видимости, старается занять освободившуюся нишу, активно развиваясь и осваивая технологии конкурентов.

Новые трюки Trickbot

«TrickBot – первый и единственный банковский троянец, использующий редирект-схемы со столь широкой географией и большим языковым разнообразием, – отметила, в свою очередь, Лимор Кессем в отчете о новых атаках троянца. – Проведение и поддержка атак с редиректом требует больше ресурсов, чем динамические веб-инъекции».

«При простом перенаправлении браузера на другую страницу пользователь видит переход на следующий сайт и может заметить изменение URL, – продолжает эксперт. – В случае с Trickbot этого не происходит. Зловред перенаправляет жертву на поддельный сайт, размещенный на раздельных серверах, еще до того, как она увидит целевую страницу».

Осуществляя перехват и скрытно перенаправляя жертву на вредоносный сайт, банкер одновременно обращается к оригинальной странице банка и поддерживает с ней активную связь. «В результате подставная страница отображает в адресной строке корректный URL банка, а также подлинный цифровой сертификат, – поясняет Кессем. – Пользователь вряд ли заметит разницу или заподозрит, что попал на вредоносный сайт… Незаметно уводя жертву заражения с настоящего сайта банка, оператор зловреда может пустить в ход веб-инжекты для кражи учетных данных, идентифицирующей личность информации и ценных кодов аутентификации на точной копии сайта. При этом банк даже не заподозрит, что сессия пользователя скомпрометирована, и не обнаружит поток событий на поддельном сайте».

Согласно наблюдениям IBM X-Force, за последние месяцы операторы Trickbot расширили список испанских мишеней: «Ранее зловред был нацелен лишь на один банк в Испании, ныне он атакует шесть брэндов в этой стране».

В своем отчете IBM также привела индикаторы заражения – хэши MD5 9a1d8e19b0622df7de1e0034e710b5a8 и 0e09c2aa13515fc10b5e352cbfab37b7.

Категории: Аналитика, Вредоносные программы, Спам