De cybercriminaliteitsoperators achter de beruchte TrickBot-malware hebben opnieuw de lat hoger gelegd door de technieken te verfijnen door meerdere verdedigingslagen toe te voegen om langs antimalwareproducten te glippen.
“Als onderdeel van die escalatie zijn malware-injecties uitgerust met extra bescherming om onderzoekers buiten de deur te houden en door beveiligingscontroles heen te komen”, zegt IBM Trusteer. zei in een rapport. “In de meeste gevallen zijn deze extra beveiligingen toegepast op injecties die worden gebruikt in het proces van fraude met internetbankieren – de belangrijkste activiteit van TrickBot sinds de oprichting na de Dyre Trojaansoverlijden.”
TrickBot, dat begon als een bancaire trojan, is uitgegroeid tot een multifunctionele crimeware-as-a-service (CaaS) die door verschillende actoren wordt gebruikt om extra payloads zoals ransomware te leveren. Tot op heden zijn meer dan 100 varianten van TrickBot geïdentificeerd, waaronder een “Trickboot” -module die de UEFI-firmware van een gecompromitteerd apparaat kan wijzigen.
In het najaar van 2020 sloegen Microsoft samen met een handvol Amerikaanse overheidsinstanties en particuliere beveiligingsbedrijven de handen ineen om het TrickBot-botnet aan te pakken en een groot deel van zijn infrastructuur over de hele wereld neer te halen in een poging zijn activiteiten te belemmeren.
Maar TrickBot is ongevoelig gebleken voor verwijderingspogingen, waarbij de operators hun technieken snel aanpassen om malware in meerdere fasen te verspreiden via phishing- en malspam-aanvallen, om nog maar te zwijgen van het uitbreiden van hun distributiekanalen door samen te werken met andere partners zoals Shathak (ook bekend als TA551) om schaalvergroting en winstgroei.
Meer recentelijk hebben malwarecampagnes waarbij Emotet betrokken was, meegelift op TrickBot als een “bezorgservice”, waardoor een infectieketen werd geactiveerd die de Cobalt Strike-tool voor post-exploitatie rechtstreeks op gecompromitteerde systemen laat vallen. Vanaf december 2021 zijn naar schatting 140.000 slachtoffers in 149 landen besmet met TrickBot.
De nieuwe updates waargenomen door IBM Trusteer hebben betrekking op de real-time webinjecties gebruikt om bankgegevens en browsercookies te stelen. Dit omvat het sturen van slachtoffers naar replicadomeinen wanneer ze proberen naar een bankportaal te navigeren als onderdeel van wat een man-in-the-browser (MitB)-aanval wordt genoemd.
Er wordt ook gebruik gemaakt van een injectiemechanisme aan de serverzijde dat de reactie van de server van een bank onderschept en deze omleidt naar een door een aanvaller gecontroleerde server, die op zijn beurt aanvullende code in de webpagina invoegt voordat deze wordt teruggestuurd naar de client.
“Om het ophalen van de juiste injectie op het juiste moment te vergemakkelijken, gebruikt de aanwezige TrickBot-malware een downloader of een JavaScript (JS) loader om te communiceren met zijn injectserver”, zegt Michael Gal, een webonderzoeker op het gebied van beveiliging bij IBM.
Andere verdedigingslinies die zijn aangenomen, de nieuwste versie van TrickBot toont het gebruik van versleutelde HTTPS-communicatie met de command-and-control (C2) -server voor het ophalen van injecties; een anti-debugging mechanisme om analyse te dwarsbomen; en nieuwe manieren om de webinjectie te verdoezelen en te verbergen, inclusief de toevoeging van redundante code en het opnemen van hex-representatie voor het initialiseren van variabelen.
Met name bij het detecteren van een poging om code te verfraaien, activeert de anti-debugging-functie van TrickBot een geheugenoverbelasting die de pagina zou laten crashen, waardoor elk onderzoek van de malware effectief wordt voorkomen.
“De TrickBot-trojan en de bende die hem exploiteert, zijn een belangrijk onderdeel van cybercriminaliteit sinds ze het overnamen toen een voorganger, Dyre, in 2016 failliet ging”, zei Gal. “TrickBot heeft geen dag gerust. Tussen verwijderingspogingen en een wereldwijde pandemie heeft het zijn modellen voor het genereren van inkomsten gediversifieerd en sterker geworden.”
