TrickBot bankarski malver opasniji nego ikad

Unapređena verzija napada POS terminale i krade informacije sa platnih kartica!

TrickBot bankarski malver opasniji nego ikad

TrickBot je odgovoran za nekoliko sajber napada na bankarske mreže u prethodne 2 godine, a sada cilja i POS servise i uređaje kako bi ukrao osetljive informacije sa platnih kartica. Autori ga stalno unapređuju, dodajući mu nove karakteristike. Među njima je i moćna tehnika ubacivanja koda kako bi se izbegla detekcija i tehnika anti-analize, što omogućava neutralisanje bezbednosnih alata na računaru žrtve.

Zahvaljujući modularnosti, napadači su dodali POS malver karakteristiku zbog koje je ovaj bankarski trojanac još opasniji. Novi modul psfin32 skenira indikatore koji pokazuju da li je zaraženi računar povezan sa mrežom koja podržava POS servise i uređaje.

Početkom meseca, malver je pomoću pwgrab32 modula izvodio operacije krađe lozinki i drugih osetljivih informacija iz browsera i aplikacija kao što su MS Outlook, Chrome, Firefox, IE i Edge.

U 2017. godini, TrickBot je bio jedan od malvera koji je naneo najviše štete finansijskim organizacijama u SAD-u, a distribucija je vršena preko Necurs botneta.

Dakle, trenutna verzija Trickbota obavlja skeniranja tražeći indikatore koji bi ukazali na to da li mreža koristi POS servise. Novi POS modul za inficiranje, psfin32, je sličan modulu za prikupljanje domena u mreži koji je korišćen u ranijim napadima. Koristi LDAP upite kako bi pristupio ADS-u (Active Directory Services) radi identifikovanja POS servisa u mreži.

LDAP upiti se koriste prvenstveno za pretragu uređaja koji koriste sledeće podnizove vezane za POS u globalnom katalogu:

'POS'

'LANE'

'BOH'

'TERM'

'REG'

'STORE'

'ALOHA'

'CASH'

'RETAIL'

'MICROS'

Ukoliko različiti LDAP upiti kojima se pretražuju podnizovi ne daju željeni rezultat, malver obavlja i druge upite za druge naloge ili objekte. Kada TrickBot dođe do željenih informacija, čuva ih u prekonfigurisanom fajlu i deli na C2 Dpost server preko POST konekcije.

Pored uobičajenih preporuka za sajber bezbednost, pojedincima i organizacijama se preporučuje da ne otvaraju sumnjive email poruke, atačmente, fajlove i linkove.

Izvor: GB Hackers