Φαίνεται ότι οι δημιουργοί του περιβόητου Trickbot Trojan, συνεχίζουν να εξελίσσουν το κακόβουλο λογισμικό τους, προσθέτοντας ένα νέο προσαρμοσμένο στοιχείο που προέρχεται από τον κώδικα του BokBot, το οποίο χρησιμοποιείται σε επιθέσεις web Injections και επηρεάζει δημοφιλή προγράμματα περιήγησης.
Το BokBot, γνωστό και ως IcedID, ανακαλύφθηκε για πρώτη φορά από την ομάδα X-Force της IBM στα τέλη του 2017 και είναι και αυτό ένα banking trojan. Έχει την ικανότητα να ανακατευθύνει τα θύματά του σε ψεύτικες ιστοσελίδες online banking, αλλά και να προσκολλάται σε έναν browser και να προωθεί ψεύτικο περιεχόμενο στις αρχικές σελίδες τραπεζών.
Ο ερευνητής ασφαλείας Brad Duncan, είδε πρόσφατα το Trickbot που περιέχει το νέο στοιχείο web injection, να γίνεται downloaded από το malware Ursnif (aka Gozi ISFB).
Η επίθεση ξεκινάει με ένα μολυσμένο αρχείο Office Word, το οποίο τρέχει ένα PowerShell script για να κατεβάσει το trojan Ursnif. Η μολυσμένη συσκευή, λαμβάνει επίσης την παραλλαγή του Trickbot που περιέχει το στοιχείο BokBot / IcedID, που μπορεί να παρακολουθήσει και να τροποποιήσει την ροή των δεδομένων στο web.
Ένα σύστημα που μολύνθηκε από την νέα παραλλαγή του Trickbot, ανακαλύφθηκε στις 5 Ιουλίου και περιέχει ένα δικό της αρχείο ρυθμίσεων.
Ένας άλλος ερευνητής ασφαλείας, ο οποίος μελέτησε επίσης το νέο στοιχείο του Trojan, o Vitali Kremez, διαπίστωσε ότι μπορεί να συνδεθεί με τα προγράμματα περιήγησης Google Chrome, Mozilla Firefox, Internet Explorer και Microsoft Edge.
Αναλύοντάς το περισσότερο, ανακαλύφθηκε η ομοιότητά τους με το εργαλείο man-in-the-browser του BokBot, που χρησιμοποιείται για την προώθηση ψεύτικων δεδομένων στα αποτελέσματα που λαμβάνει το θύμα.
Σε ένα thread στο Twitter, ο Kremez σημειώνει ότι το ενδιαφέρον κομμάτι, είναι ότι το στοιχείο αυτό, φαίνεται να έχει προσαρμοστεί ειδικά για το TrickBot ή για άλλες δόλιες τραπεζικές συναλλαγές που βασίζονται στον εγκαταστάτη αυτής της οικογένειας malware.
Το κακόβουλο πρόσθετο λειτουργεί ως τοπικός server μεσολάβησης, που βρίσκεται ανάμεσα στον πελάτη και την υπηρεσία online banking. Από αυτό το σημείο, μπορεί να εισαγάγει στη σύνδεση ένα ψεύτικο προφίλ της τράπεζας που αναζήτησε ο χρήστης και να συλλέξει οικονομικές πληροφορίες.
