Trickbot-Malware stiehlt nun auch Passwörter von Apps und Browsern

Früher war „Trickbot“ als ein normaler Bank-Trojaner bekannt, welcher mit Phishing angriff. Jedoch wurde in den vergangenen Monaten der Trickbot mit neuen Funktionen ausgerüstet, welche es den dahinterstehenden Akteuren ermöglichen, weitaus mehr Daten von infizierten Computern zu stehlen als zuvor möglich.

Wie Trend Micro mitteilte, wurde Trickbot im März mit Bildschirmsperren und Erkennungsversuchen versehen. In diesem Monat haben die Autoren ein neues Passwort-Grabber-Modul (auch als „PasswordGrabber“ bezeichnet) eingeführt, mit welchem Passwörter von infizierten Systemen gesammelt und abfiltriert werden können.

Es wurde auch festgestellt, dass der Trickbot nun nach Kennwörtern in Microsoft Outlook, Filezilla, WinScp, Mozilla Firefox, Internet Explorer und Microsoft Edge suchen kann.

Das Magazin Trend Mirco hat diese neue Variante des Trickbot-Wurms entdeckt, während Menschen aus aller Welt von dem Wurm attackiert wurden, wobei die Vereinigten Staaten, Kanada und die Philippinen am stärksten von einem Befall betroffen waren.

Die neuen Funktionen des Wurms wurden von den Entwicklern über neue Module der Malware (C&C) übertragen.

Das kürzlich hinzugefügte Passwort-Grabber-Modul dient auch zum Scannen, Sammeln und Exfiltrieren von Benutzernamen und Passwörtern, Internet-Cookies, Browserverläufen, Autofills und HTTP-Posts.

Die gute Nachricht fürs Erste ist, dass das PasswordGrabber-Malware-Modul von Trickbot keine Kennwörter von auf infizierten Computern installierten Passwort-Managern stiehlt. Die Experten von Trend Micro konnten jedoch noch nicht die Fähigkeit des Trojaners untersuchen, ob dieser Daten von Ihren Browser-Add-Ons abruft.

Trickbot ist nun auch in der Lage, auf angegriffenen Computern eine Resistenz zu erlangen, indem er einen Windows-Autostart-Dienst hinzufügt, der den Wurm nach jedem Neustart des Systems neu startet.

Die meisten betroffenen Computer wurden von dem Wurm über sogenannten Malvertising-Kampagnen infiziert. Es gab jedoch auch Fälle, bei denen sich der Wurm mit automatisierten Methoden von alleine verbreitete.

TrickBot wurde zum ersten Mal im Jahr 2016 entdeckt. Es wird angenommen, dass es auf dem Dyreza-Banking-Trojaner basiert. Neben der Möglichkeit, ein breites Sortiment internationaler Banken mit Webinjects-Modulen anzugreifen und zu infizieren, müssen JavaScript und HTML-Code in Websites eingefügt werden, bevor sie im Webbrowser des Ziels gerendert werden.

Der Trickbot ist zudem in der Lage, Bitcoins von Wallets zu stehlen sowie mit Mimikatz Anmeldeinformationen und E-Mails zu entwenden.