Разработчики, стоящие за TrickBot, модифицировали банковский троян, чтобы ориентироваться на клиентов крупных мобильных операторов, сообщают исследователи.

TrickBot тайно перехватывает сетевой трафик зараженных пользователей и направляет его на вредоносный сервер. Затем сервер вводит дополнительный код HTML и JavaScript, прежде чем веб-браузер сможет визуализировать страницу.

Такие атаки типа «человек в браузере» обычно изменяют страницу, чтобы включить язык и визуальные элементы, предназначенные для того, чтобы обмануть пользователей и заставить их предоставить свою конфиденциальную информацию.

По состоянию на август динамические веб-проекты, которые использует TrickBot, были обновлены для таргетинга Verizon Wireless, T-Mobile и Sprint, согласно сообщению в блоге на этой неделе от исследовательской группы Secureworks Counter Threat Unit Research Team.

Когда зараженные пользователи посещают веб-сайт любого из этих операторов, сервер TrickBot C2 будет обслуживать поддельное поле формы, которое попросит их ввести свой PIN-код и, по крайней мере, в некоторых случаях, свое имя пользователя и пароль.

Отмечая вредоносный запрос PIN-кода, Secureworks теоретизирует, что разработчики вредоносных программ – группа, которую исследователи называют Gold Blackburn (и ее филиалы), – могут быть заинтересованы в схемах мошенничества с переносом или обменом SIM-карт.

Secureworks рекомендует владельцам беспроводных устройств защитить себя, используя временную одноразовую многофакторную аутентификацию паролей вместо SMS-MFA, включив пин-коды на мобильных счетах и избегая использования телефонных номеров в качестве опции сброса пароля.