Onderzoekers hebben een nieuwe variant van de TrickBot-malware ontdekt die pincodes probeert te stelen om zo het telefoonnummer van het slachtoffer over te nemen. Een aanval die ook wel sim-swapping wordt genoemd. De malware heeft het vooralsnog alleen op Amerikaanse telecomklanten voorzien.

TrickBot maakt gebruik van Microsoft Office-documenten met kwaadaardige macro's om zich te verspreiden. Deze documenten worden via e-mail verstuurd. Zodra ontvangers de macro's in het ontvangen document inschakelen wordt TrickBot gedownload. Eenmaal actief kan de malware allerlei wachtwoorden van het systeem stelen en aanvullende malware installeren, waaronder ransomware.

De nieuwe variant die onderzoekers van securitybedrijf Secureworks ontdekten richt zich op klanten van de Amerikaanse telecombedrijven Verizon Wireless, T-Mobile en Sprint. Zodra besmette klanten op de website van hun provider inloggen injecteert de malware op de inlogpagina aanvullende velden die naast het wachtwoord en mobiele telefoonnummer ook om de pincode vragen. De gegevens worden vervolgens naar de aanvallers doorgestuurd.

Met deze pincode is het mogelijk om het mobiele nummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de aanvaller is. Vervolgens is het mogelijk om wachtwoorden van accounts te resetten of multifactorauthenticatiecodes te ontvangen. Secureworks raadt het gebruik van multifactorauthenticatie via sms af. In plaats daarvan wordt time-based one-time password (TOTP) multifactorauthenticatie aangeraden. Tevens krijgen gebruikers het advies om telefoonnummers niet als wachtwoordresetoptie voor belangrijke accounts te gebruiken.