New York, Cyberthreat.id - Sampai hari ini, TrickBot merupakan trojan perbankan yang paling canggih. Trojan ini terus dikembangkan dengan modul baru untuk menginfeksi sasaran baru. Periset dari Secureworks Counter Threat Unit (CTU) menemukan bahwa TrickBot sedang dikembangkan untuk menyerang pelanggan Verizon, T-Mobile, dan Sprint, perusahaan mobile Amerika Serikat (AS).

Varian baru TrickBot (dikenal juga sebagai Trickster, TheTrick, dan TrickLoader) diketahui telah menggunakan teknik injeksi web yang dinamis. Modul baru ini ditemukan pada TrickBot yang menyerang pelanggan wireless Verizon pada 5 Agustus, pelanggan T-Mobile pada 12 Agustus, dan pelanggan Sprint pada 19 Agustus. Teknik yang memanipulasi sesi situs web ini bisa dimanfaatkan operator  botnet TrickBot untuk memasukkan kode tambahan ke dalam situs yang dikunjungi pelanggan wireless. "Saat korban masuk ke situs salah satu perusahaan tersebut, respons server akan dicegat TrickBot dan diarahkan ke server Command and Control (C&C)," begitu penjelasan CTU di secureworks.com/blog, pada 27 Agustus.

Sever C&C akan menginjeksi kode HTML dan Javascript di browser korban yang memunculkan inputan tambahan, kode PIN, untuk mengelabui pelanggan. Laman login palsu ini akan merekam username, password, dan PIN serta mengirimkannya ke server C&C yang dikelola Gold Blackburn, nama operator botnet TrickBot. 

Laman login palsu dengan tambahan inputan PIN (kiri) dan laman asli (kanan) - image: secureworks.com

Trik lain TrickBot untuk mencuri kode PIN pelanggan adalah melalui skema SIM swap (disebut juga SIM splitting atau Port-Out scam). Otentikasi yang memakai multi-factor authentication (MFA) berbasis SMS biasanya akan mengirimkan token saat pelanggan melakukan transaksi atau mengubah password. TrickBot akan mencegat SMS tersebut untuk mencuri token otentikasi atau password reset. Teknik ini merupakan serangan pengambilalihan akun atau account takeover (ATO). 

CTU merekomendasikan agar perusahaan dan pelanggan mengubah otentikasi dari MFA berbasis SMS ke time-based one-time password (TOTP). Untuk akun penting, seperti akun perbankan, hindari penggunaan nomor telepon sebagai opsi untuk mengubah password pada akun penting. 

Periset CTU juga mengamati bahwa TrickBot terus dikembangkan dan modul baru ditambahkan hampir setiap minggu. Ada belasan modul yang kini dimiliki TrickBot. Misalnya, TrickBot memiliki kemampuan menerobos Windows Defender, mengunci layar ponsel, membuat laman login palsu perbankan, menginstall ransomware Ryuk, mencuri cookies dari browser, dan banyak modul lainnya. Yang terakhir, ditemukan pada Juli 2019, adalah kemampuannya menyebar dan menginfeksi korban dalam datu jaringan. Kemampuan wormable ini mirip ransomware WannaCry dan NotPetya yang menginfeksi komputer seluruh dunia dua tahun lalu.