[[409550]]

研究人員表示，TrickBot木馬正在添加瀏覽器中間人(MitB)功能，用于竊取類似于早期銀行木馬Zeus的在線銀行憑證，這可能預示著銀行欺詐攻擊即將到來。

TrickBot是一種復雜(且常見)的模塊化威脅，以竊取憑據并提供一系列后續勒索軟件和其他惡意軟件而聞名。但最初它只是一個功能簡單的銀行木馬，通過將毫無戒心的用戶重定向到特制的惡意網站來獲取網上銀行憑證，并沒有太多對抗安全分析的技術。

據Kryptos Logic Threat Intelligence的研究人員稱，此功能由TrickBot的webinject模塊實現。當受害者嘗試訪問目標URL(如銀行網站)時，TrickBot webinject包會執行靜態或動態Web注入以實現其目標：

“靜態注入類型會導致受害者被重定向到攻擊者控制的目標站點的副本，然后他們可以在那里收集憑據。”“動態注入類型將服務器響應透明地轉發到TrickBot命令和控制服務器(C2)，然后在那里修改源以包含惡意組件，然后返回給受害者，就好像它來自合法站點一樣。”

根據Kryptos Logic的說法，在模塊的更新版本中，TrickBot增加了對“Zeus風格的webinject配置”的支持——這是將惡意代碼動態注入目標銀行站點目的地的另一種方法。

Zeus

研究人員解釋說，直到2011年，Zeus的源代碼被泄露之前，它都曾是犯罪軟件領域最為流行的銀行木馬。自那以后，其他的很多惡意軟件都挑選了其中的各種功能并合并到自己的代碼中。

“由于Zeus一直是銀行惡意軟件的黃金標準，Zeus風格的webinjects非常受歡迎，很多其他的惡意軟件家族都支持Zeus風格的webinject語法，從而實現交叉兼容性，如4Zloader、5Citadel等等。”

研究人員表示，在Zeus方法中，注入是通過本地SOCKS服務器代理流量來完成的——這一方法也可以在IcedID的man-In-browser webinject模塊中找到。當受害者嘗試訪問目標URL(模塊中許多硬編碼的URL之一)時，流經偵聽代理的流量會相應地動態修改。為了實現這一點，它創建了一個自簽名的TLS證書并將其添加到證書存儲中。

“該模塊包含一個打包的有效負載，可以注入受害者的瀏覽器，它會鉤住套接字API以將流量重定向到本地偵聽SOCKS代理，它還鉤住“CertVerifyCertificateChainPolicy”和“CertGetCertificateChain”以確保不會向受害者顯示證書錯誤。”

更新后的模塊取代了舊有的功能，以injectDll的名義被推送給真正的受害者。該公司發現，有32位和64位兩種版本。

TrickBot恢復銀行欺詐業務?

Kryptos Logic的研究人員解釋說，鑒于TrickBot已經從銀行木馬時代發展到幾乎完全專注于充當第一階段、多用途惡意軟件，這一發展非常值得我們注意，因為這些惡意軟件通常是勒索軟件感染的前兆。因此，在交付最終有效載荷(同樣，通常是勒索軟件)之前，還經常看到它在整個網絡環境中執行橫向傳播。最近它甚至增加一個bootkit函數。

因此，這項更新webinject模塊的新努力可能表明TrickBot的運營商正在重新卷入銀行業欺詐戰。

Kryptos Logic研究人員總結道：“webinject模塊的恢復開發表明TrickBot打算恢復其銀行欺詐業務，該業務似乎已被擱置了一年多。”“添加Zeus風格的webinjects可能意味著他們的惡意軟件即服務平臺的擴展，使用戶能夠攜帶自己的webinjects。”

本文翻譯自：https://threatpost.com/trickbot-banking-trojan-module/167521/