新的TrickBot变种针对Verizon，T-Mobile和Sprint用户

 
在专注于窃取Verizon Wireless，T-Mobile和Sprint用户的PIN码时，发现了一种新的Trickbot特洛伊木马变种，标志着该恶意软件开发的新一步。
TrickBot(也称为Trickster，TheTrick和TrickLoader)是一种银行特洛伊木马，自2016年10月开始在野外被观察时，多年来不断升级，拥有新的模块和功能。
虽然最初只有银行木马功能，旨在收集和提供尽可能多的敏感数据给它的主人，它现在也成为一个流行的恶意软件dropper能够感染与其他恶意软件系列受感染的机器。
美国移动运营商的用户受到攻击
Secureworks Counter Threat Unit(CTU)的研究人员在发现针对美国移动用户信息的新动态网络项目后，于2019年8月发现了这个新的TrickBot版本。
8月5日，新的模块被添加到Verizon Wireless的用户，8月12日的T-Mobile用户和8月19日的Sprint客户。
webinjects允许TrickBot僵尸网​​络背后的威胁组 – 被Secureworks称为GOLD BLACKBURN – 通过网络会话操作在其受害者网站中注入额外的代码。
“当受害者导航到其中一个组织的网站时，合法的服务器响应被TrickBot拦截​​并通过命令和控制(C2)服务器代理，”研究人员解释说。
TrickBot针对Verizon用户
然后，C2服务器将在受害者的网络浏览器中自动注入HTML和JavaScript代码，从而导致“请求用户的PIN码的附加表单字段”被添加到三个移动运营商的客户。
除了在其目标的登录页面中注入额外的PIN请求表单之外，TrickBot的这种变体还注入了用于捕获并将收集的用户名，密码和PIN泄露到其C2服务器的代码。
“这些’录音’会在他们浏览网页面板中的受感染主机时呈现给TrickBot运营商，”正如Secureworks研究人员所发现的那样。
追踪移动用户的PIN码暗示威胁行为者的参与或操作SIM交换欺诈计划(即SIM拆分或端口欺诈)的兴趣，这将使他们能够完全控制受害者的电话号码，“包括所有入站和出站文本和语音通信。“
针对Sprint用户的PIN码攻击
“在帐户接管(ATO)欺诈过程中经常使用基于短消息服务(SMS)的身份验证令牌或密码重置的拦截，”报告补充道。
组织和用户可以从基于SMS的多重身份验证(MFA)切换到基于时间的一次性密码(TOTP)MFA，并避免使用电话号码作为高风险帐户的密码重置选项来缓解此威胁。
在Secureworks的报告结束时，可以获得折衷指标(IOC)，包括此TrickBot变体用作动态webinjects代理C2服务器的IP地址。
定期更新功能和感染媒介
如今，TrickBot是最不常见的恶意软件之一，安全研究人员几乎每周都会发现升级版本。
例如，就在2019年7月，TrickBot特洛伊木马被视为添加了Windows Defender绕过功能，获得了一个新的IcedID代理模块来窃取银行信息，以及一个用于窃取浏览器cookie的单独模块。
此外，1月份，CrowdStrike和FireEye的研究人员发现TrickBot被其他参与者用作Access-as-a-Service，以访问以前受感染的网络。一旦机器遭到入侵并成为机器人，特洛伊木马就会向其他演员发回反向炮弹，比如Ryuk背后的演员，使他们能够进一步渗透到网络中并放弃他们的有效载荷。
一年前，在2018年3月，TrickBot更新了一个屏幕锁定组件，当时建议其开发人员可能会开始让赎金受害者作为备用措施，如果无法进行银行信息泄露的话。
此外，在2017年7月，银行特洛伊木马升级后，能够进行自我传播，其中包含一个旨在实现自动化自我传播的组件，以便在几乎没有额外工作的情况下提高感染多台计算机的机会，同时危及整个网络何时，如果可能的话。