Már kriptopénzre is harap a TrickBot trójai

A TrickBot banki trójai már nem elégszik meg a bankszámlák megcsapolásával. Bitcoin is kell neki.
 

A TrickBot trójai 2016-ban kezdte fertőzni a számítógépeket azzal a céllal, hogy azokról minél több bizalmas adatot tudjon kiszivárogtatni. Akkor elsősorban banki szolgáltatásokhoz tartozó felhasználóneveket és jelszavakat gyűjtött, és valójában erről a szokásáról azóta sem tett le. Kezdetben ausztrál bankok ügyfeleinek számítógépét vette célba, aztán lassacskán egyéb országokba is átvándorolt. Mindez azért nem ment gyorsan, mert az adatlopáshoz olyan adathalász módszereket alkalmaz, amik pénzintézetek weboldalainak megfelelő testreszabást követelnek meg. A károkozó ugyanis a fertőzött PC-n a vele kompatibilis bank weblapjának megnyitásakor aktiválódik, és lecseréli az oldalt egy hamis - az eredetire megszólalásig hasonlító - változatra. Amennyiben ezt nem veszi észre a felhasználó, és az adatait megadja, akkor azok rögtön a csalókhoz kerülnek. 

Újabb célpontok

A TrickBot mögött álló alvilági csoport a nyáron sem pihent, hiszen a kártékony programnak sorban jelentek meg az újabb variánsai. Júniusban egy olyan változat ütötte fel a fejét, amely már képes volt a PayPal weboldalának meghamisítására, és azáltal PayPalhoz kötődő bizalmas információk bezsebelésére. Emellett pedig egyes vállalati CRM-rendszerek is célkeresztbe kerültek. Júliusban pedig még aggasztóbbra fordult a helyzet, ugyanis a TrickBot férgeknél alkalmazott összetevőkkel gyarapodott. Emiatt alkalmassá vált hálózati megosztásokon keresztül történő, automatizált terjedésre is. 

Jöhet a kriptopénz

A trójai legújabb verziója újabb vizekre evezett, mivel most már a kriptopénzt sem veti meg. A gyakorlatban ez azt jelenti, hogy immár a Coinbase.com weboldallal is kompatibilis lett, vagyis a Coinbase felhasználóinak adataira is pályázik. A módszere e tekintetben semmit sem változott, mivel a Coinbase.com cím segítségével letöltött weblapokat manipulálja, és a megadott adatokat rögtön feltölti a támadók szervereire. 

A Forcepoint biztonsági szakértői szerint a TrickBot legújabb variánsa eddig leginkább kanadai felhasználók számítógépeire került fel, de valójában semmilyen technikai akadálya nincs annak, hogy más országokba is felbukkanjon. Ezért célszerű a megelőzésre helyezni a hangsúlyt, és naprakészen tartani a víruskeresőket. Emellett fokozott óvatosságra van szükség az e-mailek kezelése során, mivel a trójai leginkább elektronikus levelekben terjed. Ezek sokszor bankok, illetve egyéb intézmények nevében kerülnek be a postafiókokba. Kanadában például a Canadian Imperial Bank of Commerce (CIBC) bank ismertségét használták ki a csalók a felhasználók megtévesztéséhez.