Trickbot Trojan ahora tiene un módulo separado de robo de cookies

Trickbot Trojan ahora tiene un módulo separado de robo de cookies
5 (100%) 7 votos

El troyano Trickbot ahora viene con un módulo separado para robar cookies del navegador, descubrieron los investigadores de amenazas el martes, marcando un nuevo progreso en el desarrollo del malware.

Reportado en octubre de 2016, Trickbot comenzó como un troyano bancario, pero las actualizaciones constantes lo convirtieron en una amenaza multipropósito que puede robar información confidencial de las aplicaciones, enviar spam y entregar otros tipos de malware en una computadora infectada.

El nuevo módulo se llama Cookie Grabber y su propósito es solo robar cookies: fragmentos de texto que los sitios web guardan en el navegador para diversos fines, como recordar el estado de inicio de sesión, las preferencias del sitio web, el contenido personalizado; o para rastrear la actividad de navegación de un usuario.

El nuevo módulo de Trickbot fue primero visto en julio 2 por el investigador de malware Brad Duncan durante una infección de Trickbot que entregó el archivo "cookiesDLL64".

crédito: Brad Duncan

Duncan publicó un publicación corta con detalles sobre el tráfico generado por el último módulo de Trickbot y los artefactos asociados con él, tal como se encuentra en un infectado Windows anfitrión. y los artefactos encontrados en un infectado Windows host que tenía el módulo de robo del navegador.

Investigador Vitali Kremez También vi el nuevo módulo Cookie Grabber de Trickbot y confirmó que funciona como un complemento separado para el malware.

"De hecho, este es el nuevo módulo de navegador #TrickBot" #CookieGrabber "(con analizador de db local) se lanza con el ord de exportación habitual (Inicio, Control, Lanzamiento, FreeBuffer) y configuración dpost", respondió Kremez al tuit de Duncan sobre Cookie Grabber .

Recomendamos:  Si tiene un dispositivo de Google Home en el trabajo, esta configuración realmente debería estar desactivada
crédito: Vitali Kremez

Kremez descubrió que la fecha de compilación del nuevo módulo era el 27 de junio, y apuntaba a las bases de datos de almacenamiento de cookies de todos los principales navegadores web: Chrome, Firefox, Internet Explorer, Microsoft Edge.

El investigador le dijo a BleepingComputer que Trickbot tenía capacidades de robo de cookies incluidas otro componente pero ahora esto es completamente independiente y viene con su propio archivo de configuración.

Esto significa que una vez entregados a un host víctima, los operadores de malware pueden controlarlo independientemente de otras características de robo de información.

crédito: Vitali Kremez

Kremez cree que los autores del malware se dieron cuenta de que el capturador de cookies no era absolutamente necesario en el otro módulo. Al recopilar este tipo de información sobre el host, el operador puede perfilar mejor a la víctima y personalizar los pasos posteriores del ataque.

"Creo que están separando cada funcionalidad en componentes modulares separados", nos dijo el investigador.

Esto ofrecería un control más preciso sobre cada función y haría que el malware sea más ágil. También permitiría flexibilidad para ajustar las capacidades de malware de acuerdo con el propósito de cada campaña.


Dejános tus Comentarios: