TrickBot способен определять, подвергается ли он анализу со стороны ИБ-эксперта.
Исследователи в области кибербезопасности из IBM Trusteer рассказали о новых функциях вредоносной программы TrickBot, которые усложняют ее исследование, анализ и обнаружение последних вариантов. Вредонос вызывает сбой в работе вкладок браузера при обнаружении определенных скриптов.
Поскольку TrickBot является модульным вредоносом, злоумышленники могут внедрять дополнительные функции для выполнения широкого спектра вредоносных действий, включая атаки man-in-the-browser для кражи учетных данных online-банкинга, кражу баз данных Active Directory, перемещение по сети и пр.
Помимо того, что TrickBot является банковским трояном, он также используется для установки других полезных нагрузок благодаря своей незаметности и эффективности. Ранее вредонос был связан с вымогательской группировкой Diavol , группировкой Conti и даже с Emotet .
Разработчики TrickBot используют ряд уровней обфускации и кодировку base64 для скриптов, включая минимизацию, извлечение и замену строк, числовую базу и представление, внедрение мертвого кода и обезьяньи патчи (возможность подмены методов и значений атрибутов классов программы во время ее выполнения).
TrickBot обладает несколькими уровнями обфускации, что делает анализ ПО медленным, громоздким и часто дает неубедительные результаты.
При внедрении вредоносных скриптов на web-страницы с целью кражи учетных данных операторы не задействуют локальные ресурсы, а полагаются исключительно на серверы. Таким образом, аналитики не могут добывать образцы из памяти зараженных систем.
TrickBot взаимодействует с командным сервером по протоколу HTTPS, который поддерживает зашифрованный обмен данными. Кроме того, запросы на внедрение команд включают параметры, которые помечают неизвестные источники, поэтому аналитики не могут получать образцы из командного сервера с помощью незарегистрированной оконечной точки.
TrickBot содержит скрипт защиты от отладки в коде JS, который помогает ему предвидеть осуществление анализа и запустить перегрузку памяти, приводя к сбою страницы.
Раньше TrickBot пытался определить, анализируется ли он, путем проверки разрешения экрана пользователя, но теперь он также ищет признаки «улучшения кода». Улучшение кода — это преобразование запутанного кода или развернутого текста в контент, который легче читается человеческим глазом и, следовательно, в нем легче идентифицировать код.
При обнаружении измененного кода TrickBot теперь вызывает сбой браузера, чтобы предотвратить дальнейший анализ внедренного скрипта.
«TrickBot использует RegEx для обнаружения «улучшенной настройки» и запускает себя в цикл, который увеличивает размер динамического массива на каждой итерации. После нескольких раундов память в конечном итоге перегружается, и браузер дает сбой», — объясняют исследователи IBM Trusteer.
Одно найти легче, чем другое. Спойлер: это не темная материя