Trojan perbankan TrickBot baru sekarang menyertakan komponen screenlocker, menunjukkan operator malware mungkin segera mulai menahan korban untuk tebusan jika target yang terinfeksi tidak tampak sebagai pengguna e-banking.
Kabar baiknya adalah bahwa mekanisme screenlocker belum berfungsi sepenuhnya, dan tampaknya masih dalam pengembangan.
Meskipun demikian, para peneliti keamanan telah melihat modul baru yang dijatuhkan pada perangkat korban, menunjukkan bahwa pengembangan sudah cukup maju untuk mencapai uji coba lapangan.
Modul screenlocker masih dalam pengembangan
Modul screenlocker adalah bagian dari salah satu dari banyak file yang dijatuhkan TrickBot pada perangkat korban. Penampakan pertama dari modul TrickBot baru ini dimulai pada minggu lalu, 15 Maret.
TrickBot, yang dikenal sebagai trojan perbankan, telah berevolusi dalam beberapa tahun terakhir menjadi “malware dropper“.
TrickBot menginfeksi korban dengan strain malware awal yang khusus untuk mengunduh berbagai modul TrickBot – yang bertanggung jawab untuk berbagai operasi. Modul yang dikenal sebelumnya termasuk trojan perbankan aktual (injektor browser), tetapi juga modul yang mengirim spam email dari host yang terinfeksi, dan worm SMB untuk bergerak secara lateral di dalam jaringan yang lebih besar.
Pada tanggal 15 Maret, dropper TrickBot awal mulai mengunduh file bernama tabDll32.dll (atau tabDll64.dll) yang menjatuhkan tiga file lain bernama:
- Spreader_x86.dll – modul TrickBot yang mencoba menyebar ke komputer lain di jaringan yang sama melalui SMB dengan memanfaatkan EternalRomance dan kemungkinan eksploit lain yang diperbaiki oleh patch keamanan MS17-010.
- SsExecutor_x86.exe – Modul TrickBot yang digunakan bersama dengan yang pertama, yang dimaksudkan untuk dijalankan setelah kompromi awal. Modul juga menetapkan boot persistensi pada komputer yang disusupi.
- ScreenLocker_x86.dll – modul TrickBot yang digunakan untuk mengunci layar komputer yang terinfeksi. Itu tidak mengenkripsi file. (Status modul belum berfungsi)
https://twitter.com/MalwareTechLab/status/976507572394930176
Modul screenlocker dikembangkan untuk jaringan perusahaan
Hal yang menonjol adalah kenyataan bahwa TrickBot sudah memiliki komponen worm SMB sejak musim panas 2017, yang dijatuhkan sebagai file bernama wormDll32.dll.
Semua tiga file yang dijatuhkan melalui modul yang baru ditemukan ini tampaknya dirancang untuk bekerja bersama, satu demi satu, mengabaikan komponen worm asli, dan dengan screenlocker yang dipicu setelah menyebar secara lateral melalui jaringan.
Hal ini telah mendorong para peneliti keamanan untuk percaya bahwa modul ini dikembangkan sebagai metode satu-klik untuk memonetisasi infeksi di jaringan perusahaan di mana pengguna cenderung menggunakan layanan e-banking, terlepas dari worm SMB asli.
“Jika pengembang TrickBot mencoba untuk menyelesaikan fungsi penguncian ini, ini menghasilkan spekulasi yang menarik di sekitar model bisnis grup,” kata Jason Davison, Advanced Threat Research Analyst untuk perusahaan keamanan Webroot.
“Perlu dicatat bahwa fungsi penguncian ini hanya digunakan setelah gerakan lateral, yang berarti bahwa itu akan digunakan untuk terutama menargetkan jaringan perusahaan yang belum di-patch,” Davison menambahkan.
Meskipun tidak ada operasi enkripsi file yang diamati dalam versi saat ini, ini tidak berarti modul saat ini tidak akan menerima pembaruan lebih lanjut untuk menunjukkan perilaku dari crypto-ransomware yang berfungsi penuh.
