Давно известный экспертам АКБ троянец проявляет себя как один из самых упорных и опасных вирусов в сети. В который раз за год он оброс новым, и довольно опасным, функционалом.
Специалисты компании Secureworks обнаружили, что, по всей видимости, операторы трояна TrickBot, решили слегка расширить свою специализацию и заняться атаками типа SIM swap. Зловред научился похищать PIN-коды и данные от учетных записей крупных мобильных операторов, включая Sprint, T-Mobile и Verizon Wireless. Речь не о каком-то конкретной версии малвари: соответствующие обновления получили все активные версии трояна.
Суть схемы SIM swap заключается в том, что преступник перехватывает контроль над SIM-картой и номером своей жертвы (как правило, обращаясь к представителям сотового оператора и применяя социальную инженерию, но возможны и другие сценарии). В итоге атакующий получает полный контроль над номером жертвы и всеми сервисами, к которым тот привязан (включая банковские счета, электронную почту и многое другое), а также одноразовым паролям, кодам двухфакторной аутентификации и так далее.
Исследователи отмечают, что ситуация значительно ухудшается из-за того, что TrickBot работает по модели access-as-a-service, то есть операторы трояна позволяют другим хак-группам размещать малварь на компьютерах, зараженных TrickBot. Благодаря этому авторы TrickBot имеют уже налаженные связи с другими преступными группами, и аналитики Secureworks опасаются, что все это может использоваться для быстрого обмена или продажи собранных данных о мобильных пользователях.
По данным исследователей, TrickBot начал перехватывать трафик для страницы входа в Verizon Wireless 5 августа 2019 года, тогда же он начал добавлять два новых поля для ввода PIN-кода к стандартной форме входа Verizon. Эту модификацию легко не заметить, хотя Verizon обычно не запрашивает PIN-код для своего веб-сайта.
Совсем недавно, в конце июля 2019 года эксперты АКБ рассказывали про еще одно усовершенствование банковского трояна TrickBot: теперь он в реальном времени отключает Защитник Windows, для чего использует по ситуации одну из 13 (!) отмычек. До ого очередная версия TrickBot начала собирать учетные данные электронной почты и контактов из ящиков жертвы, а также рассылать вредоносный спам с ее адреса. С 2016 года вредонос претерпел кардинальные преобразования: изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами, а более современные версии зловреда умеют воровать учетные данные к службам удаленного доступа.
Эксперты АКБ говорили, и повторяют, что ближайшее будущее однозначно за вирусами-«швейцарскими ножами», в которых есть модульные отмычки для любой ситуации. Гением будет тот хакер, который сумеет объединить этот полифункционал с отсутствием файлового тела вируса (отдельно в памяти вредоносное ПО уже умеет существовать, но оно пока еще узко специализировано).
