Обновленный зловред снабжен веб-инжектами не только для банков, но также для сайта, торгующего биткойнами.
Исследователи из IBM X-Force проанализировали новейшие атаки банковского трояна Trickbot на клиентов онлайн-сервиса, позволяющего покупать биткойны и расплачиваться за покупку кредитной картой.
Trickbot появился на интернет-арене в 2016 году. Список его мишеней вначале включал лишь австралийские банки, однако зловред быстро эволюционировал и вскоре обрел также веб-инжекты для банков Новой Зеландии, Великобритании, Германии, Канады, а к середине прошлого года — и для финансовых институтов США. Примерно тогда же исследователи из Forcepoint впервые обнаружили распространявшийся в спаме вариант Trickbot, который, помимо банков, был нацелен на криптоообменник Coinbase.
В IBM давно наблюдают развитие этого зловреда и тоже зафиксировали ряд атак на некий криптосервис — его название эксперты не указывают. В отчете исследовательского подразделения X-Force сказано, что при покупке биткойнов посетитель этого сервиса указывает адрес своего кошелька и искомую сумму, после чего его перенаправляют в другой домен для подтверждения покупки и оплаты. Здесь пользователь заполняет другую форму, вводя персональную информацию и данные кредитной карты.
Схема атаки обновленного Trickbot с целью кражи криптовалюты, по словам экспертов, предусматривает применение веб-инжектов и на первом, и на втором сайте. В отличие от многих банкеров Trickbot не хранит внедряемый код в конфигурационном файле. Модификация целевой страницы, открываемой в браузере жертвы, производится в ходе обмена троянской программы с C&C-сервером, что позволяет его операторам видоизменять веб-инжект в реальном времени, не прибегая к обновлению конфигурации резидентного зловреда.
В результате модификации веб-формы, заполняемой жертвой при оформлении покупки, все введенные ею данные отправляются злоумышленникам, и те решают, стоит ли продолжать мошенническую транзакцию. Веб-инъекция при переходе жертвы на платежный сайт позволяет им угнать покупку — получить оплаченные жертвой биткойны на свой кошелек.
Исследователи также выяснили, что после ввода данных кредитной карты платежный сервис, атакуемый Trickbot, просит покупателя предоставить номер телефона, адрес электронной почты, селфи-фото с кредитной картой и фотоснимок удостоверения личности. Однако все эти меры защиты от мошенничества призваны подтвердить личность плательщика, а не права собственности на кошелек, поэтому злоумышленников такая проверка никоим образом не тревожит. Они уже подменили адрес кошелька, он принят и больше не отображается жертве.