De beruchte TrickBot-malware richt zich op klanten van 60 financiële en technologiebedrijven, waaronder cryptocurrency-bedrijven, voornamelijk gevestigd in de VS, zelfs nu de operators het botnet hebben bijgewerkt met nieuwe anti-analysefuncties.
“TrickBot is een geavanceerde en veelzijdige malware met meer dan 20 modules die op aanvraag kunnen worden gedownload en uitgevoerd”, aldus Check Point-onderzoekers Aliaksandr Trafimchuk en Raman Ladutska. zei in een vandaag gepubliceerd rapport.
Naast het feit dat TrickBot zowel gangbaar als persistent is, heeft het zijn tactieken voortdurend ontwikkeld om voorbij beveiligings- en detectielagen te gaan. Daartoe gebruikt de “injectDll” web-injects-module van de malware, die verantwoordelijk is voor het stelen van bank- en referentiegegevens, anti-deobfuscatietechnieken om de webpagina te laten crashen en pogingen om de broncode te onderzoeken te dwarsbomen.
Er zijn ook anti-analyse vangrails aangebracht om te voorkomen dat beveiligingsonderzoekers geautomatiseerde verzoeken naar command-and-control (C2) -servers sturen om nieuwe webinjecties op te halen.
Een andere van de belangrijkste sterke punten van TrickBot is zijn vermogen om zichzelf te verspreiden, wat het bereikt door de “tabDLL” -module te gebruiken om de inloggegevens van de gebruikers te stelen en de malware te verspreiden via SMBv1-netwerkshare met behulp van de EternalRomance-exploit.
Een derde cruciale module die wordt ingezet als onderdeel van TrickBot-infecties, is “pwgrabc”, een inloggegevens-stealer die is ontworpen om wachtwoorden van webbrowsers en een aantal andere toepassingen zoals Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN en TeamViewer over te hevelen.
“TrickBot valt spraakmakende slachtoffers aan om de inloggegevens te stelen en zijn operators toegang te geven tot de portals met gevoelige gegevens waar ze grotere schade kunnen aanrichten”, aldus de onderzoekers, eraan toevoegend “de operators achter de infrastructuur hebben veel ervaring met het ontwikkelen van malware niveau ook.”
De bevindingen komen ook als de TrickBot-bende werd onthuld als in dienst metaprogrammeringsmethoden voor zijn Bazar-familie van malware om hun code te verbergen en te beschermen tegen reverse-engineering met als uiteindelijk doel het omzeilen van op handtekeningen gebaseerde detectie.
