Специалисты компании Secureworks обнаружили, что операторы трояна TrickBot, похоже, решили заняться атаками типа SIM swap. Для этого малварь научилась похищать PIN-коды и данные от учетных записей крупных мобильных операторов, включая Sprint, T-Mobile и Verizon Wireless. Подчеркивается, что TrickBot с такой функциональностью – это не отдельный штамм, такие обновления получили все активные версии трояна.
Напомню, что о проблеме SIM swap в последние годы говорят все чаще. Суть такой мошеннической схемы заключается в том, что преступник перехватывает контроль над SIM-картой и номером своей жертвы (как правило, обращаясь к представителям сотового оператора и применяя социальную инженерию, но возможны и другие сценарии). В итоге атакующий получает полный контроль над номером жертвы и всеми сервисами, к которым тот привязан (включая банковские счета, электронную почту и многое другое), а также одноразовым паролям, кодам двухфакторной аутентификации и так далее.
Исследователи отмечают, что ситуация значительно ухудшается из-за того, что TrickBot работает по модели access-as-a-service, то есть операторы трояна позволяют другим хак-группам размещать малварь на компьютерах, зараженных TrickBot. Благодаря этому авторы TrickBot имеют уже налаженные связи с другими преступными группами, и аналитики Secureworks опасаются, что все это может использоваться для быстрого обмена или продажи собранных данных о мобильных пользователях.
По данным исследователей, TrickBot начал перехватывать трафик для страницы входа в Verizon Wireless 5 августа 2019 года, тогда же он начал добавлять два новых поля для ввода PIN-кода к стандартной форме входа Verizon. Эту модификацию легко не заметить, хотя Verizon обычно не запрашивает PIN-код для своего веб-сайта.
Для T-Mobile и Sprint, для которых TrickBot начал перехватывать трафик с 12 августа и 19 августа, все выглядит немного иначе. Вместо добавления отдельного фейкового поля для ввода PIN-кода троян добавляет это поле в виде отдельной страницы, которая появляется после успешного входа в систему, как показано ниже.
Хуже того, на сегодня TrickBot является одним из наиболее активных угроз в целом. Поэтому даже если пострадавший не станет жертвой SIM swap атаки, вскоре он может быть заражен чем-то другим, например, майнером, малварью, ворующей пароли из браузера, или вымогателем.
