戴尔Secureworks的研究人员发现了一个新功能涓涓细刻这允许它篡改拥有某些移动载体的用户的网络会话。根据他们上周初发布的博客帖子,TrickBot可以通过“在受害者浏览器呈现之前拦截网络流量”来实现这一目标。

如果你可能会记得,涓涓细刻,一个知名的银行木制木马我们被发现木马。涓涓细刻出生于是迪雷扎背后的威胁演员,凭证窃取恶意软件我们自己的研究员Hasherazade解剖早在2015年.Secureworks将TrickBot的开发者命名为Gold Blackburn。

TrickBot是在竞争中脱颖而出的表情并成为了企业的第一款威胁必威官网多少2018年最后一个季度。

在它向进化的阶梯上又迈了一步之前,涓涓细刻已经拥有令人印象深刻的reptoire的功能,例如动态WebInject它用于金融机构网站;蠕虫模块;使用Windows的schedule Task的持久化技术;的能力从Microsoft Outlook中窃取数据、cookie和浏览历史记录;的手段目标销售点(POS)系统;以及通过垃圾邮件传播的能力,并通过EternalBlue,永恒浪漫或Eternalchampion开发来横向移动。

现在,最近,相同的WebInject功能用于针对前三名美国的移动运营商:Verizon Wireless,T-Mobile和Sprint。根据戴尔的安全工作的说法,增强以适应这些公司的用户的攻击,于8月12日,8月12日和8月19日添加到Trickbot。

攻击是如何进行的?

当受影响系统的用户决定访问Verizon Wireless、T-Mobile或Sprint的合法网站时,TrickBot拦截来自官方服务器的响应,并将其传递给威胁行为者。命令和控制(C&C)服务器,启动它的动态webinject功能。然后C&C服务器在受影响的用户的web浏览器中注入脚本——特别是HTML和JavaScript (JS)脚本,从而在页面呈现之前改变用户看到和看不到的内容。例如,某些文本、警告指示符和表单字段可能会被删除或添加,这取决于威胁行为者试图实现的目标。

戴尔安全操作研究人员能够在移动运营商网站的原始页面上捕获某些更改icrickot的证明。

我们可以在这里看出不同之处,但是没有意识到这一点的用户或者正在登录的用户可能无法看出有什么地方出了问题。(礼貌:戴尔Secureworks)

上面是Verizon Wireless登录页面被TrickBot篡改之前(右图)和之后(左图)的对比。除了缺少一些文本外,还要注意新添加的字段,特别是那些要求输入PIN码的字段。

在Sprint的情况下,更改更加微妙,非常无缝:一旦用户能够以用户名和密码成功登录,将显示额外的引脚表单。

对手机pin码的突然攻击表明,使用TrickBot的威胁行动者对参与某些欺诈策略表现出了兴趣,比如端口欺诈SIM换档根据研究人员的说法。

当威胁演员呼叫目标的移动载体来请求目标号码切换或移植到新的网络提供商时,会发生口交欺诈。SIM交换或SIM劫持工作以类似的方式,而不是改变为新的提供商,威胁演员对来自载体的新SIM卡的请求,他们可以放在自己的设备中。

这将导致所有的电话、彩信和短信被发送给威胁行动者。如果他们的目标使用基于文本的双因素认证(2FA)在其在线帐户中,威胁演员可以轻松拦截公司生成的消息以访问对这些帐户的访问权限。这导致账户收购(ATO)欺诈。

这种骗局通常是在威胁行动者已经掌握了目标的证书并希望绕过2FA时进行的。

如何保护自己免受涓饰的?

以免重新发明轮子,我们恳求你,亲爱的读者,回去检查我们的帖子题为Trickbot接管了顶级商业威胁其中,我们概述了企业(和消费者相似)可以遵循的修复步骤。该职位还有一部分关于预防措施的一部分 - 途径可以减少端点中涓涓细胞感染的可能性 - 从普通员工教育和关于威胁景观的最新策略和趋势开始的职业教育和意识运动。

请注意,Malwar必威平台APPebytes会自动检测并删除无用户干预的TrickBot。

我想我可能会堕落给这个。现在怎么办?

采取的最佳行动是将您的移动运营商致电报告欺诈,让您的号码阻止,并考虑请求新号码。你也可以向FTC报告诈骗者或欺诈者

去吧,把你所有的在线账户的密码和你的电话号码联系起来。

您可能还希望考虑使用更强大的身份验证方法,例如使用基于时间的一次性密码(OTP)2FA-Authy和Google Authenticator来到思想 - 对于拥有关于您,亲人和朋友的极度敏感信息的帐户,以及您的业务或员工。

在移动账户上启用密码。

最后,要熟悉如何限制端口输出或SIM交换攻击再次发生的可能性。《连线》杂志发表了一个精彩的故事如何防止自己反对SIM交换攻击而在KrebsOnSecurity的Brian Krebs有一篇关于如何打击港口欺诈

和往常一样,大家注意安全!