De beruchte TrickBot-malware richt zich op klanten van 60 financiële en technologiebedrijven, waaronder cryptocurrency-bedrijven, voornamelijk gevestigd in de VS, zelfs nu de operators het botnet hebben bijgewerkt met nieuwe anti-analysefuncties.
"TrickBot is een geavanceerde en veelzijdige malware met meer dan 20 modules die op aanvraag kunnen worden gedownload en uitgevoerd", aldus Check Point-onderzoekers Aliaksandr Trafimchuk en Raman Ladutska. zei in een vandaag gepubliceerd rapport.
Naast dat het zowel veelvoorkomend als persistent is, heeft TrickBot: permanent evolueerde zijn tactieken om voorbij de beveiligings- en detectielagen te gaan. Daartoe gebruikt de "injectDll" web-injects-module van de malware, die verantwoordelijk is voor het stelen van bank- en referentiegegevens, anti-deobfuscatietechnieken om de webpagina te laten crashen en pogingen om de broncode te onderzoeken te dwarsbomen.
Er zijn ook anti-analyse vangrails om te voorkomen dat beveiligingsonderzoekers geautomatiseerde verzoeken naar command-and-control (C2) -servers sturen om nieuwe webinjecties op te halen.
Een andere van de belangrijkste sterke punten van TrickBot is zijn vermogen om zichzelf te verspreiden, wat wordt bereikt door de "tabDLL" -module te gebruiken om de inloggegevens van de gebruikers te stelen en de malware te verspreiden via SMBv1-netwerkshare met behulp van de EternalRomance exploiteren.
Een derde cruciale module die wordt ingezet als onderdeel van TrickBot-infecties is "pwgrabc", een inloggegevensdiefstal die is ontworpen om wachtwoorden van webbrowsers en een aantal andere toepassingen zoals Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN en TeamViewer over te hevelen.
"TrickBot valt spraakmakende slachtoffers aan om de inloggegevens te stelen en de operators toegang te geven tot de portals met gevoelige gegevens waar ze grotere schade kunnen aanrichten", aldus de onderzoekers. "De operators achter de infrastructuur hebben veel ervaring met het ontwikkelen van malware op een hoog niveau niveau ook.”
De bevindingen komen ook als de TrickBot-bende werd onthuld als in dienst metaprogrammeringsmethoden voor de Bazar-familie van malware om hun code te verbergen en te beschermen tegen reverse engineering met als uiteindelijk doel het omzeilen van op handtekeningen gebaseerde detectie.
