Новые трюки TrickBot’а: украсть SIM-карту по воздуху

Опубликовано at 30.08.2019
36 0

Давно известный экспертам АКБ троянец проявляет себя как один из самых упорных и опасных вирусов в сети. В который раз за год он оброс новым, и довольно опасным, функционалом.

Специалисты компании Secureworks обнаружили, что, по всей видимости, операторы трояна TrickBot, решили слегка расширить свою специализацию и заняться атаками типа SIM swap. Зловред научился похищать PIN-коды и данные от учетных записей крупных мобильных операторов, включая Sprint, T-Mobile и Verizon Wireless. Речь не о каком-то конкретной версии малвари: соответствующие обновления получили все активные версии трояна.

Суть схемы SIM swap заключается в том, что преступник перехватывает контроль над SIM-картой и номером своей жертвы (как правило, обращаясь к представителям сотового оператора и применяя социальную инженерию, но возможны и другие сценарии). В итоге атакующий получает полный контроль над номером жертвы и всеми сервисами, к которым тот привязан (включая банковские счета, электронную почту и многое другое), а также одноразовым паролям, кодам двухфакторной аутентификации и так далее.

Исследователи отмечают, что ситуация значительно ухудшается из-за того, что TrickBot работает по модели access-as-a-service, то есть операторы трояна позволяют другим хак-группам размещать малварь на компьютерах, зараженных TrickBot. Благодаря этому авторы TrickBot имеют уже налаженные связи с другими преступными группами, и аналитики Secureworks опасаются, что все это может использоваться для быстрого обмена или продажи собранных данных о мобильных пользователях.

По данным исследователей, TrickBot начал перехватывать трафик для страницы входа в Verizon Wireless 5 августа 2019 года, тогда же он начал добавлять два новых поля для ввода PIN-кода к стандартной форме входа Verizon. Эту модификацию легко не заметить, хотя Verizon обычно не запрашивает PIN-код для своего веб-сайта.

Совсем недавно, в конце июля 2019 года эксперты АКБ рассказывали про еще одно усовершенствование банковского трояна TrickBot: теперь он в реальном времени отключает Защитник Windows, для чего использует по ситуации одну из 13 (!) отмычек. До ого очередная версия TrickBot начала собирать учетные данные электронной почты и контактов из ящиков жертвы, а также рассылать вредоносный спам с ее адреса. С 2016 года вредонос претерпел кардинальные преобразования: изначально он был нацелен только на кражу финансовых данных, к 2018 году список мишеней TrickBot пополнился криптобиржами, а более современные версии зловреда умеют воровать учетные данные к службам удаленного доступа.

Эксперты АКБ говорили, и повторяют, что ближайшее будущее однозначно за вирусами-«швейцарскими ножами», в которых есть модульные отмычки для любой ситуации. Гением будет тот хакер, который сумеет объединить этот полифункционал с отсутствием файлового тела вируса (отдельно в памяти вредоносное ПО уже умеет существовать, но оно пока еще узко специализировано).

Подписываемся, следим @CyberAgency

Related Post

Наркоторговцы уходят из Tor в I2P

Опубликовано - 31.05.2019 0
Преступники из даркнета, наркоторговцы, продавцы оружия, фальшивых документов и чужих кредиток (нередко в одном лице) – вот, кто находится в…

12 критических и 48 обычных уязвимостей: октябрьская раздача заплаток-слонов от Microsoft

Опубликовано - 11.10.2018 0
На фоне не слишком презентабельно прошедшего октябрьского обновления Windows (уже кое-кем окрещенного «хэллоуинским»), Microsoft проделала действительно значительную работу в рамках октябрьского…