Neue Malware-Varianten

Trickbot bringt Browser von Forschenden zum Absturz, um Analyse zu verhindern

Uhr
von Kevin Fischer und jor

Neue Trickbot-Varianten erschweren Forschenden die Arbeit. Zum Verteidigungsrepertoire der Malware zählt neuerdings, die Browser der Forschenden zum Absturz zu bringen, um die Analysen zu stoppen.

(Source: Gunnar Assmy / Fotolia.com)
(Source: Gunnar Assmy / Fotolia.com)

Trickbot wehrt sich neuerdings gegen die Analysen von Forschenden. Wie "Bleepingcomputer" berichtet, erhielt die Malware entsprechende neue Updates. Die aktuellsten Varianten seien herausfordernder zu erforschen, zu analysieren und aufzuspüren. Erkennen sie etwa bestimmte Skripts, bringen sie zum Teil Browser-Tabs zum abstürzen.

Trickbot verschleiert unter anderem auch etwa seine tatsächlichen Programmabläufe (Obfuskation). Das ist zwar schon bekannt in der Malware-Welt, doch verfügt Trickbot gemäss Bericht über viele Ebenen und redundante Teile, welche die Analyse langsam sowie umständlich machen und oft zu unschlüssigen Ergebnissen führen.

Ausserdem nutzen die neuen Trickbot-Varianten beim Einfügen bösartiger Skripte in Webseiten keine lokalen Ressourcen, sondern nur die Server der Akteure. Deshalb können Analysten keine Proben aus dem Speicher infizierter Computer untersuchen.

Trickbot erkennt, wenn er analysiert wird, und reagiert

Die Malware verfügt auch über ein Anti-Debugging-Skript. Damit erkennt Trickbot, wann er analysiert wird, und löst als Verteidigungsmechanismus eine Speicherüberlastung aus, die zum Absturz der infizierten Seite führt. Das soll die Analyseversuche unterbrechen.

Trickbot prüft unter anderem die Bildschirmauflösung des Hosts, um zu erkennen, ob er analysiert wird. Auch reagiert er neu auf "Code-Verschönerungen", die Menschen dabei helfen, Code für das Auge leichter lesbar zu machen. Erkennt die Malware entsprechende Skripts, bringt sie den Browser zum Absturz.

Da Trickbot modular aufgebaut sei, könne die Malware dank verschiedenen Modulen in verschiedensten Szenarien zum Einsatz kommen. Dazu gehören gemäss Mitteilung Man-in-the-Browser-Angriffe zum Diebstahl von Online-Banking-Anmeldeinformationen, der Diebstahl von Active-Directory-Datenbanken, die Ausbreitung über ein Netzwerk, die Datenexfiltration und mehr.

Übrigens bestätigte das FBI kürzlich, dass die neue Ransomware Diavol von denselben Kriminellen geschaffen wurde wie Trickbot. Erfahren Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_244386