ds Trends - Cybersecurity Tren Din perspectiva victimei, dupa introducerea informaţiilor în form-ul de login, i se va servi fie o pagină alterată de către atacator, sau va fi redirectată către site-ul real al băncii. Pagina alterată poate fi un mesaj de „eroare”, după cum s-a observat în noile versiuni TrickBot, sau o altă pagină care încearcă să intercepteze de exemplu onetime password. Ulterior, malware-ul descarcă un fișier de configurare ce conţine o listă cu URL-urile băncilor ţintă. Fiecare URL e configurat pentru a fi redirectat către un proxy server cu rol de MITM, pentru fiecare bancă fiind asignat un port diferit. Aceasta permite atacatorului să trimită mai departe cererile victimei către site-ul băncii și să returneze date false, incluzând pagini malformate de login, ferestre pop-up și injectare de cod JavaScript/HTML. După ce informaţiile ajung la atacator, acesta poate accesa remote sistemul victimă folosind modulul VNC (Virtual Network Computing) integrat în TrickBot și poate efectua tranzacţii bancare. Atacuri TrickBot direcționate către băncile din România În timpul analizei diferitelor variante ale TrickBot, s-a observat că, începând de la versiunea 45 de configuraţie, în lista de bănci ţintă au început să fie introduse și bănci din România. Exemplu de configurație TrickBot : MD5: c0360b2b178d7c05ac6e35ef41e67cb9 Config: https://ro.unicreditbank ing.net* https://ro.unicreditbanking.net/disp* bhsaviterghbloqznkcpfdasuxym.com 195.133.147.135:443 În configuraţia de mai sus, utilizatorilor ce încearcă să acceseze https://ro.unicreditbanking.net sau https:// ro.unicreditbanking.net le este prezentată o pagină falsă ce se încarcă de pe serverul C&C: 195.133.147.135:443 Config: https://www.ingonline.com* https://www.ingonline.com/ro* cqsdplqchaogzenrvsjftwumbkxy.net 195.133.147.135:443 În mod identic, ulitizatorilor ce vor accesa https:// www.ingonline.com sau https://www.ingonline.com/ ro* le este servită o pagină falsă ce va fi încărcată de la același server C&C. URL-urile respective se regăsesc și în versiunea curentă a TrickBot V 81. 44 Codul sursă al paginii false servite de TrickBot: Pagina falsă conţine un script numit main_new, responsabil cu manipularea obiectelor prezentate victimei în pagina falsă și cu atacul MITM De asemenea, pagina mai conţine o matrice a parametrilor de configurare în header. Interesanţi sunt: ID. Identificator unic al băncii, identic cu numărul portului din fișierul de configurare. Incorrect login error. La fiecare încercare a victimei de login în site-ul băncii, serverul proxy trimite automat cererea către site-ul real la băncii și realizează autentificarea. Daca aceasta eșueaza, va trimite o notificare de eroare către victimă în pagina falsă. Block message. Dacă atacul MITM reușește, atacatorul poate realiza tranzacţii bancare și poate bloca accesul victimei la cont. Parametrul va stoca mesajul trimis. Trickbot: analiza atacurilor uzuale TrickBot poate folosi câteva moduri de atac, cele mai interesante fiind „Redirection Attack’”și „WebInject Attack” Cele două metode sunt explicate mai jos: Redirection attack: reprezintă modalitatea prin care TrickBot interceptează cererea și servește utilizatorului victimă o pagină malformată, falsă de pe unul din serverele C&C, ce impresonează site-ul real de e-banking. (comportamentul este tratat mai sus în capitolul TrickBot: paginile malformate). Webinject attack: reprezintă modul de injectare a unui cod HTML sau JS în conţinutul paginii web, înainte ca aceasta să fie vizualizată de către victimă în browser-ul web, în acest mod malware-ul poate schimba conţinutul câmpurilor cu care victima interacţionează în pagina de login TrickBot interceptează apoi cererile victimei către pagina de login și răspunde cu link-uri externe ce sunt injectate în pagina falsă de login. Conform analizelor mostrelor de TrickBot, statistica indică: Total Targeted Redirect URLs: 453 Total Targeted Webinject URLs:1057 Total targeted URL 1510 Total Romanian Targeted URLs:3 https://www.ingonline.com/ro* https://ro.unicreditbanking.net/disp https://ro.unicreditbanking.net* În cazul anumitor variante alterate, s-au mai identificat și următoarele mutaţii: Total Targeted Webinject URLs:5 Total Romanian Targeted URLs:5 https://www\.raiffeisenonline\.ro/eBankingWeb/login.* https://login\.24banking\.ro/casserver/login.* https://www\.homebank\.ro/public/HomeBankLogin/home.* https://www\.brdoffice\.ro/smartoffice/_mcologon.* https://www\.mybrdnet\.ro/brdinternetbank/login\.html.*

Cybersecurity Trends 4/2017 RO