Специалисты компании Trend Micro сообщили, что известный банкер Trickbot обзавелся новыми модулями и теперь ворует еще больше данных.
Напомню, что в марте текущего года вредонос приобрел функциональность локера и научился весьма эффективно избегать обнаружения, а теперь авторы малвари расширили арсенал Trickbot еще и модулем PasswordGrabber, предназначенным для хищения паролей с зараженных машин.
После получения нового модуля с C&C-сервера, Trickbot ищет логины и пароли в Microsoft Outlook, Filezilla и WinScp, а также в браузерах Google Chrome, Mozilla Firefox, Internet Explorer и Microsoft Edge. Также малварь интересуют история браузеров, куки, информация использующаяся для автозаполнения и так далее.
При этом исследователи подчеркивают, что данная версия Trickbot не способна похищать пароли из сторонних парольных менеджеров. В настоящее время специалисты еще изучают новую версию вредоноса и пытаются определить, относится ли то же самое к парольным расширениями и плагинам для браузеров.
Аналитики Trend Micro пишут, что новый Trickbot также способен прописываться в автозагрузку Windows, что позволяет малвари надежно закрепиться в системе и вновь запускаться после каждого выключения или перезагрузки. Так как еще осенью прошлого года Trickbot обзавелся механизмом саморазмножения, подобным WannaCry и NotPetya, все эти возможности в сумме делают малварь крайне опасной.
Заражения новой версией Trickbot с модулем PasswordGrabber уже замечены по всему миру, но больше всего пострадавших в США, Канаде и на Филиппинах.
