Malware TrickBot yang terkenal telah menerima fitur baru yang membuatnya lebih menantang untuk meneliti, menganalisis, dan mendeteksi dalam varian terbaru, termasuk tab browser yang menabrak ketika mendeteksi skrip yang dipercantik.
TrickBot telah mendominasi lanskap ancaman malware sejak 2016, terus-menerus menambahkan pengoptimalan dan peningkatan sambil memfasilitasi penyebaran malware dan ransomware yang merusak.
Karena TrickBot bersifat modular, aktor ancaman dapat menyebarkan modul yang melakukan berbagai aktivitas berbahaya, termasuk serangan man-in-the-browser untuk mencuri kredensial perbankan online, mencuri basis data direktori aktif, menyebar melalui jaringan, eksfiltrasi data, dan banyak lagi.
Selain sebagai trojan perbankan, TrickBot juga digunakan untuk menyebarkan muatan lain berkat stealthiness dan efektivitasnya.
Baru-baru ini, telah dikaitkan dengan kelompok ransomware Diavol, geng ransomware Conti, dan bahkan munculnya kembali Emotet.
Para peneliti di IBM Trusteer telah menganalisis sampel terbaru untuk melihat fitur anti-analisis baru apa yang telah diperkenalkan baru-baru ini oleh penulis dan menyajikan beberapa temuan menarik dalam laporan mereka.
Para peneliti tidak menyambut
Pertama, pengembang TrickBot menggunakan berbagai obfuscation dan base64 lapisan pengkodean untuk skrip, termasuk minify, ekstraksi string dan penggantian, basis nomor dan mewakili, injeksi kode mati, dan patching monyet.
Obfuscation diharapkan di dunia malware, tetapi TrickBot memiliki banyak lapisan dan bagian yang berlebihan untuk membuat analisis lambat, rumit, dan sering menghasilkan hasil yang tidak meyakinkan.
Kedua, ketika menyuntikkan skrip berbahaya ke halaman web untuk mencuri kredensial, suntikan tidak melibatkan sumber daya lokal tetapi hanya mengandalkan server aktor. Dengan demikian, analis tidak dapat mengambil sampel dari memori mesin yang terinfeksi.
TrickBot berkomunikasi dengan server perintah dan kontrol (C2) menggunakan protokol HTTPS, yang mendukung pertukaran data terenkripsi.
Juga, permintaan injeksi termasuk parameter yang menandai sumber yang tidak diketahui, sehingga analis tidak dapat mengambil sampel dari C2 menggunakan titik akhir yang tidak terdaftar.
Dengan mengumpulkan sidik jari perangkat, operator TrickBot dapat menyuntikkan skrip khusus ke browser masing-masing korban, menargetkan bank tertentu dan membujuk sistemnya bahwa ia berinteraksi dengan pelanggan yang sebenarnya.
Akhirnya, TrickBot memiliki skrip anti-debugging dalam kode JS, yang membantu mengantisipasi ketika sedang dianalisis dan memicu kelebihan memori yang crash halaman.
TrickBot sebelumnya berusaha untuk menentukan apakah itu sedang dianalisis dengan memeriksa resolusi layar host, tetapi sekarang juga mencari tanda-tanda “mempercantik kode.”
Kode mempercantik adalah transformasi kode yang dikaburkan atau teks yang belum dipahat menjadi konten yang lebih mudah dibaca oleh mata manusia dan dengan demikian lebih mudah untuk mengidentifikasi kode yang menarik di dalamnya.
Varian terbaru dari TrickBot menggunakan ekspresi reguler untuk mendeteksi ketika salah satu skrip yang disuntikkan telah dipercantik, biasanya menunjukkan seorang peneliti keamanan menganalisisnya.
Jika kode yang dipercantik ditemukan, TrickBot sekarang crash browser untuk mencegah analisis lebih lanjut dari script disuntikkan.
TrickBot menggunakan RegEx untuk mendeteksi pengaturan yang dipercantik dan melemparkan dirinya ke dalam loop yang meningkatkan ukuran array dinamis pada setiap iterasi. Setelah beberapa putaran, memori akhirnya kelebihan beban, dan browser crash, “peneliti IBM Trusteer menjelaskan dalam posting blog baru.
Bagaimana untuk tetap aman
TrickBot biasanya tiba pada sistem target melalui email phishing yang mencakup lampiran berbahaya yang mengeksekusi makro untuk mengunduh dan menginstal malware.
Selain memperlakukan email masuk dengan hati-hati, disarankan juga untuk mengaktifkan otentikasi multi-faktor pada semua akun Anda dan secara teratur memantau log login jika memungkinkan.
Karena banyak infeksi TrickBot berakhir dengan serangan ransomware, mengikuti praktik segmentasi jaringan dan jadwal cadangan offline reguler juga penting untuk mengandung potensi ancaman.
Sumber: Bleepingcomputer
