SOS :: Security Operation Space
16 июля, вторник, 00:00
|
Hot News:

Банкер Trickbot обзавелся прокси-модулем от IcedID

10 июля 2019 г., среда, 14:29

Специалисты обнаружили необычный вариант трояна с компонентом для перехвата трафика жертвы.

Банковский троян Trickbot получил модуль для перехвата трафика зараженной машины. Теперь зловред способен внедрять собственные инжекты в данные, передаваемые между сайтом финансового учреждения и клиентским устройством. Специалисты предполагают, что расширение возможностей стало результатом сотрудничества авторов программы с разработчиками другого банкера — IcedID.

Неизвестный ранее модуль обнаружил ИБ-эксперт Брэд Данкан (Brad Duncan) при анализе полезной нагрузки, доставленной зловредом Ursnif. Специалист обнаружил, что обновленный вариант Trickbot внедряет в зараженную систему динамическую библиотеку shadnewDll, которая отвечает за изменение веб-трафика. Вредоносный компонент обладает собственным конфигурационным файлом и предназначен для MITB-атак. По мнению ИБ-аналитика Виталия Кремеца, модуль работает с интернет-обозревателями Chrome, Firefox, Internet Explorer и Edge.

Выявленная экспертами атака начиналась с доставки на компьютер файла Office, содержащего вредоносный PowerShell-сценарий для загрузки Ursnif. Оказавшись на скомпрометированной машине, зловред подгружает обновленный вариант Trickbot, который устанавливал сеанс связи с командным сервером и получал от него инструкции.

Изучение кода нового модуля выявило многочисленные совпадения с исходниками банковского трояна BokBot, также известного как IcedID. Специалисты выяснили, что зловред выполняет функции локального прокси-сервера и способен вставлять в передаваемый на машину трафик собственные скрипты. Таким образом, злоумышленники получают возможность отображать на экране жертвы фальшивые формы для ввода финансовых или учетных данных.

В прошлом году стало известно, что операторы IcedID и Trickbot стали проводить совместные атаки, доставляя на целевое устройства сразу два зловреда. ИБ-специалисты пришли к выводу, что подобное сотрудничество призвано увеличить эффективность киберкампаний с использованием сильных сторон каждой из программ. Скорее всего, злоумышленники делили полученную прибыль. Интеграция разработок на уровне вредоносных компонентов может свидетельствовать о новом этапе такого сотрудничества.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:46
11:15
09:15
08:15
08:15
07:15
06:15
06:15
05:28
16:31
16:02
15:39
15:15
14:27
13:15
13:15
10:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.290
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.