Το trojan TrickBot αποτελεί ένα από τα πιο ενεργά και ευρέως διαδεδομένα κακόβουλα λογισμικά. Σύμφωνα με ερευνητές, οι hackers έχουν βελτιώσει το trojan, ώστε να είναι σε θέση να πραγματοποιεί «SIM swapping επιθέσεις».
Η νέα έκδοση του TrickBot μπορεί να κλέψει credentials σύνδεσης και κωδικούς PIN για λογαριασμούς των Sprint, T-Mobile και Verizon Wireless.
Το TrickBot συλλέγει δεδομένα, που δίνουν τη δυνατότητα στους hackers να πραγματοποιήσουν SIM swapping επίθεση, δηλαδή να μεταφέρουν τον αριθμό τηλεφώνου ενός θύματος σε μια κάρτα SIM που ελέγχουν οι ίδιοι.
Μέσω αυτής της επίθεσης, οι hackers μπορούν να παρακάμψουν τις λύσεις ελέγχου ταυτότητας πολλαπλών παραγόντων, που βασίζονται σε SMS, και να προχωρήσουν σε επαναφορά των κωδικών πρόσβασης των τραπεζικών λογαριασμών, των λογαριασμών email ή των cryptocurrency exchange portals των θυμάτων.
Τα τελευταία δύο χρόνια, οι SIM swapping επιθέσεις έχουν γίνει πολύ δημοφιλείς. Χρησιμοποιούνται κυρίως για την κλοπή χρημάτων.
Αρχικά, το TrickBot χρησιμοποιούνταν ως banking trojan αλλά εξελίχθηκε σε ένα Access-as-a-Service μοντέλο. Αυτό σημαίνει ότι άλλοι hackers μπορούν να αναπτύξουν κακόβουλα προγράμματα σε υπολογιστές, που είχε μολύνει προηγουμένως το TrickBot.
Αυτό αυτόματα δημιουργεί μια συνεργασία ανάμεσα στην ομάδα, που κρύβεται πίσω από το TrickBot και σε άλλες εγκληματικές ομάδες. Αυτό είναι πολύ ανησυχητικό γιατί μπορεί να ενώσουν τις δυνάμεις τους για να πραγματοποιήσουν μεγαλύτερες επιθέσεις. Για παράδειγμα, οι χειριστές του TrickBot θα μπορούσαν να δώσουν σε άλλους hackers τα δεδομένα που συλλέγουν, για να τα εκμεταλλευτούν με άλλους τρόπους.
Πώς μπορείτε να ξέρετε αν έχετε πέσει θύμα του TrickBot;
Είναι δύσκολο να καταλάβει κανείς αν έχει επηρεαστεί από το κακόβουλο λογισμικό, εκτός κι αν χρησιμοποιεί κάποιο top πρόγραμμα εντοπισμού ιών. Ωστόσο, υπάρχουν κάποια πράγματα που μπορούν να βοηθήσουν στο να καταλάβετε αν συμβαίνει κάτι περίεργο.
Το TrickBot χρησιμοποιεί μια τεχνική που είναι γνωστή ως “web injects”. Ουσιαστικά, εισέρχεται σε νόμιμα sites που επισκέπτεται ένας χρήστης και εγκαθιστά κακόβουλο περιεχόμενο.
Σύμφωνα με τους ερευνητές, το TrickBot άρχισε να επηρεάζει τη σελίδα σύνδεσης της Verizon Wireless στις 5 Αυγούστου, όταν προσέθεσε δύο νέα πεδία για τον κωδικό PIN των χρηστών στην φόρμα σύνδεσης της Verizon.
Η Verizon συνήθως δεν ζητάει αυτό το PIN μέσω της ιστοσελίδας της. Επομένως, το TrickBot ήταν σε θέσει να κλέψει τα credentials και τον κωδικό PIN των χρηστών, που έκαναν σύνδεση με αυτόν τον τρόπο.
Οι επιθέσεις στην T-Mobile και την Sprint πραγματοποιήθηκαν στις 12 Αυγούστου και 19 Αυγούστου αντίστοιχα. Σε αυτές τις επιθέσεις οι hackers ακολούθησαν διαφορετική διαδικασία.
Δεν προσέθεσαν το πεδίο του κωδικού PIN στην κανονική φόρμα σύνδεσης, αλλά σε μια ξεχωριστή σελίδα που εμφανίστηκε μετά από την επιτυχημένη σύνδεση, όπως φαίνεται παρακάτω.
Εάν οι χρήστες των Sprint, T-Mobile και Verizon Wireless έχουν δει αυτές τις σελίδες, τότε πιθανότατα οι υπολογιστές τους έχουν μολυνθεί με το TrickBot.
Αν έχει συμβεί αυτό, θα πρέπει να φροντίσουν για τον «καθαρισμό» του υπολογιστή τους αλλά και για την αλλαγή των credentials και των κωδικών PIN τους.
Οι χειριστές του TrickBot έχουν αποδείξει ότι είναι αδίστακτοι και ότι βρίσκουν συνεχώς νέους τρόπους να εξελίσσουν το κακόβουλο λογισμικό, όπως τώρα που του έδωσαν τη δυνατότητα να πραγματοποιεί SIM swapping επιθέσεις. Επομένως, πρέπει να είμαστε πολύ προσεκτικοί!
