Trickbot är ett modulärt och ständigt utvecklat och förfinat paket av skadlig kod. Trickbot är idag en av de vanligaste bärarna av skadlig nyttolast. Trickbot började sin bana i oktober 2016 som en bank-trojan. Tack vare BankID är dock banktrojaner knappt ett problem i Sverige, och Trickbot är inte lika uppmärksammat i vårt land.
Det betyder dock inte att vi kan bortse från Trickbot. Tvärtom är koden en av de mest använda bäraren av skadlig kod, det vill säga Trickbot fungerar som leverantör av olika typer av nyttolast som i sin tur är skadlig kod för olika ändamål.
Palo Alto Networks har nu upptäckt en modul till Trickbot vars funktion är att stjäla kryptografiska nycklar till OpenSSH och OpenVPN. Modulen heter pwgrab64 och upptäcktes för ett år sedan som en variant som stjäl lösenord från framförallt webbläsare. I februari i år upptäcktes en uppdatering som stjäl lösenord från vnc, putty och rdp, rapporterar Bleeping Computer.
Analytikerna på Palo Alto Networks har nu sett att Trickbot använder HTTP POST för att ladda upp privata nycklar från OpenSSH och OpenVPN till operatörernas kommando-server (C2-server). Trojanen kan ännu inte exfiltrera lösenorden, vilket tyder på att operatörerna fortfarande bara testar funktionen, men den kan fortfarande få tag på de krypterade nycklarna och ladda upp dem till operatörerna.
Läs också:
Åtta av de tio värsta sårbarheterna kommer från Microsoft
Forskare varnar – trojaner sprids via speciella zip-filer
