Авторы трояна Trickbot совершенствуют защиту веб-инжектов

Авторы трояна Trickbot совершенствуют защиту веб-инжектов

Анализ новейших образцов Trickbot, проведенный в IBM Trusteer, показал, что у трояна-долгожителя появилась дополнительная защита от обнаружения и анализа. Нововведения по большей части направлены на сокрытие кражи данных в рамках банковского фрода.

Модульный троян Trickbot объявился в интернете шесть лет назад и вначале работал, как обычный банкер, — воровал информацию, облегчающую отъем денег со счетов жертв заражения. Зловред постоянно совершенствуется, пережил ряд попыток ликвидации и в последние годы в основном используется как загрузчик других вредоносных программ.

Банковские трояны обычно осуществляют перехват финансовой информации посредством атаки man-in-the-browser (MitB) во время веб-сессии жертвы. При этом они используют веб-инжекты — скрипты, способные на лету подменять передаваемые данные.

Внедряемый код, как правило, хранится локально в конфигурационном файле зловреда; Trickbot, как оказалось, может также подгружать его в реальном времени со своего сервера. Таким образом, злоумышленники сразу убивают двух зайцев: упрощают себе замену веб-инжектов и осложняют выявление банков-мишеней для исследователей.

 

Используемый трояном JavaScript-загрузчик тоже претерпел изменения; теперь он запрашивает инжекты с C2 по защищенным каналам (HTTPS). Сами MitB-скрипты сильно обфусцированы — закодированы по Base64 и заполнены мусором, строки зашифрованы и перепутаны, имена переменных, функций и аргументов изменены.

В код Trickbot были также добавлены функции борьбы с дебагом; механизм реализован в виде JavaScript-сценария и позволяет выявить присутствие отладчика. Обнаружив попытку анализа, зловред провоцирует перегрузку по памяти, влекущую отказ браузера.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Недавние обновления Windows привели к зависаниям Edge, фикс уже готов

Microsoft сообщила об устранении бага, который приводил к зависанию браузера Edge при использовании «режима Internet Explorer». Проблему вызывали обновления систем Windows 11 (версии 21H2), Windows 10 (версий 20H2, 221H1 и 21H2) и Windows Server 2022.

По словам разработчиков, проблемные апдейты — KB5014019KB5014023 и KB5014021 — устанавливались опционально.

«Вкладки, работающие в режиме IE, переставали отвечать, если на посещаемом сайте выводилось диалоговое окно, — отмечает Microsoft. — Как правило, такие окна нужны для взаимодействия пользователя с веб-страницей или приложением».

Устранить проблему удалось с помощью механизма Known Issue Rollback (KIR). Напомним, что в прошлом году Microsoft ввела эту функцию для оперативного автоматического исправления багов, вызванных обновлениями операционной системы.

Чтобы избавиться от вышеупомянутого бага на корпоративных устройствах, системные администраторы должны установить групповую политику KIR. Сделать это можно, например, по прямым ссылкам для каждой ОС:

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru