De TrickBot-malware die ontwikkeld is om gegevens voor internetbankieren te onderscheppen kan nu ook wachtwoorden uit Outlook stelen. TrickBot is een banking Trojan die sinds vorig jaar in omloop is. De malware wordt via e-mailbijlagen verspreid. Eenmaal actief op een computer kan TrickBot de inlogpagina voor internetbankieren vervangen of het browserverzoek van de gebruiker naar een kwaadaardige server doorsturen.

De malware richt zich op verschillende banken, waaronder ook Nederlandse, aldus anti-virusbedrijf F-Secure en securitybedrijf F5. Vorige week ontdekten onderzoekers een nieuwe variant die over een worm-achtige module beschikte om de malware via SMB te verspreiden. De worm-module is nog in ontwikkeling, maar is volgens securitybedrijf Flashpoint bewijs dat de TrickBot-ontwikkelaars hebben geleerd van de grote ransomware-uitbraken van WannaCry en Petya en hun werkwijze nu overnemen.

Inmiddels is er weer een nieuwe variant ontdekt, die dit keer in staat blijkt te zijn om in Outlook opgeslagen inloggegevens te stelen, alsmede informatie uit de browser zoals surfgeschiedenis, zo laat securitybedrijf Malwarebytes weten. De meeste modules van TrickBot zijn geschreven in C++. De Outlook-module is in de programmeertaal Delphi geschreven. Volgens de onderzoekster met het alias 'Hasherezade' lijkt dit erop te duiden dat het team achter de malware mogelijk nieuwe ontwikkelaars in dienst heeft of aan het experimenteren is. "Hoe het ook zij, het laat zien dat TrickBot actief wordt beheerd en niet op korte termijn zal verdwijnen", zo laat ze weten.