Trickbot, de malware die eerder op conventionele wijze achter bankgegevens aanging, gebruikt nu een Microsoft Excel-bestand om inlogcodes van gebruikers buit te maken. De nieuwe module heet pwgrab32 en probeert autofill-data, browsegeschiedenis en gebruikersnamen en wachtwoorden te stelen van browers en verschillende andere apps via een Microsoft Excel-bestand.
De aanvallers verspreiden een bestand met de naam Sep_report.xls. De malware verspreidt zich vervolgens via de Macro VBS-programmeertaal en is actief zodra het slachtoffer het document opent. Als een gebruiker Sep_report opent moet deze de content van de ingesloten Macro toestaan. Doet de gebruiker dat, dan activeert de macro zich en is de malware actief.
Hoe de malware werkt
Nadat de malware gedownload is en de pwgrab32-module draait, lanceert het drie pogingen om inlogcredentials te stelen uit Internet Explorer, Firefox en Chrome. Een vierde poging om informatie uit Edge te stelen bestaat ook, maar is niet actief op dit moment. De malware voert onder meer de autofill-functie van de browsers uit.
Zodoende is het mogelijk om e-mailadressen, land, adressen, namen en telefoonnummers te stelen. Doordat het ook gebruikersnamen, wachtwoorden, cookies en browsegeschiedenis downloadt, kunnen de ontwikkelaars daarmee inloggen op banksites. Mensen die wachtwoordmanagers van derden, zoals Dashlane of LastPass, gebruiken, zijn veilig.
Als Trickbot klaar is met het stelen van wachtwoorden van de browsers, gaat het verder met mailapp Outlook, en apps als FileZilla en WinSCP. “De modulaire structuur van Trickbot wordt vaak ingezet om de software continu te updaten. Zo worden er nieuwe modules van een C&C-server gehaald en de configuratie van de malware veranderd,” aldus onderzoekers Noel Anthony Llimos en Carl Maverick Pascual van Trend Micro.
“Gebruikers en bedrijven kunnen voordeel halen uit beschermingsmaatregelen die een meerlaagse aanpak hanteren om risico’s af te wimpelen, die voortkomen uit bijvoorbeeld banking trojant”, aldus de onderzoekers.
3 uur geleden
