Trickbot

TrickBot ist ein Banking-Trojaner, der Finanzdaten, Kontodaten und persönliche Informationen stehlen sowie sich in einem Netzwerk verbreiten und Ransomware, insbesondere Ryuk, absetzen kann.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Was ist TrickBot-Malware?

TrickBot (oder „TrickLoader“) ist ein bekannter Banking-Trojaner, der sowohl Unternehmen als auch Privatpersonen auf ihre Daten, wie Bankinformationen, Kontozugangsdaten, personenbezogene Daten (PII) und sogar Bitcoins abzielt. Als hochgradig modulare Malware kann sie sich an jede Umgebung oder jedes Netzwerk anpassen, in dem sie sich befindet.

Die vielen Tricks, die dieser Trojaner seit seiner Entdeckung im Jahr 2016 vollführt hat, sind der Kreativität und Agilität seiner Entwickler zu verdanken. Neben dem Diebstahl hat TrickBot die Fähigkeit erhalten, sich lateral zu bewegen und eine Stellung im betroffenen Netzwerk zu erlangen, indem es Exploits nutzt. Es kann Kopien von sich selbst über Server Message Block (SMB)-Freigaben verbreiten, andere Malware wie Ryuk Ransomware ablegen und nach Dokumenten und Mediendateien auf den infizierten Host-Maschinen suchen.

Wie verbreitet sich TrickBot?

Ähnlich wie Emotet gelangt TrickBot auf betroffene Systeme in Form von eingebetteten URLs oder infizierten Anhängen in bösartigen Spam- (Malspam)-Kampagnen.

Sobald ausgeführt, breitet sich TrickBot lateral im Netzwerk aus, indem es die SMB-Schwachstelle mit einem der drei weithin bekannten NSA-Exploits ausnutzt: EternalBlue, EternalRomance oder EternalChampion.

Emotet kann TrickBot auch als Teil einer Sekundärinfektion ablegen.

Was ist die Geschichte von TrickBot?

TrickBot begann als Dieb von Bankinformationen, doch nichts daran ist einfach—selbst von Anfang an.

Als Malwarebytes-Forscher 2016 TrickBot zum ersten Mal entdeckten, prahlte es bereits mit Attributen, die man bei „einfachen“ Zugangsdaten-Dieben normalerweise nicht sieht. Anfangs zielte es auf Finanzdienstleistungen und Nutzer für Bankdaten. Es legt auch andere Malware ab.

TrickBot hat sich den Ruf erarbeitet, der Nachfolger von Dyreza zu sein, einem anderen Zugangsdaten-Dieb, der 2014 erstmals auftauchte. TrickBot teilte Ähnlichkeiten mit Dyreza, wie bestimmte Variablen mit ähnlichen Werten und die Art, wie TrickBot-Ersteller die Befehls- und Steuerungsserver (C&C) eingerichtet haben, mit denen TrickBot kommuniziert. Dies hat viele Forscher zu der Überzeugung geführt, dass die Person oder Gruppe, die Dyreza erstellt hat, auch TrickBot erstellt hat.

Im Jahr 2017 haben Entwickler ein Wurm-Modul in TrickBot aufgenommen, das unserer Meinung nach von erfolgreichen Ransomware-Kampagnen mit wurm-ähnlichen Fähigkeiten wie WannaCry und EternalPetya inspiriert wurde. Die Entwickler fügten auch ein Modul hinzu, um Outlook-Zugangsdaten zu sammeln. Warum Outlook? Nun, Hunderte von Organisationen und Millionen von Einzelpersonen weltweit nutzen diesen Webmail-Dienst regelmäßig. Die Bandbreite der Daten, die TrickBot stiehlt, weitete sich ebenfalls aus: Cookies, Browserverlauf, besuchte URLs, Flash LSO (Local Shared Objects) und vieles mehr.

Obwohl diese Module zu dieser Zeit neu waren, waren sie nicht gut codiert.

Im Jahr 2018 nutzte TrickBot weiterhin die SMB-Schwachstelle aus. Es war auch mit dem Modul ausgestattet, das das Echtzeit-Monitoring von Windows Defender mit einem PowerShell-Befehl deaktiviert. Während es auch seinen Verschlüsselungsalgorithmus aktualisiert hat, blieb der Rest seiner Modulfunktion gleich. Die TrickBot-Entwickler begannen außerdem, ihren Code zu sichern, indem sie Verschleierungselemente integrierten, damit Sicherheitsforscher ihn nicht auseinandernehmen können.

Am Ende des Jahres wurde TrickBot als die größte Bedrohung für Unternehmen eingestuft und überholte damit Emotet.

TrickBot-Entwickler nahmen 2019 Veränderungen am Trojaner vor. Insbesondere änderten sie die Funktionsweise des Webinject-Features gegenüber den US-amerikanischen Mobilfunkanbietern Sprint, Verizon Wireless und T-Mobile.

Kürzlich haben Forscher eine Verbesserung der Ausweichmethoden dieses Trojaners festgestellt. Das Mworm-Modul, das für die Verbreitung einer Kopie von sich selbst verantwortlich war, wurde durch ein neues Modul namens Nworm ersetzt. Dieses neue Modul verändert TrickBots HTTP-Verkehr, sodass es aus dem Speicher heraus ausgeführt werden kann, nachdem es einen Domänencontroller infiziert hat. Dies stellt sicher, dass TrickBot keine Spuren der Infektion auf den betroffenen Maschinen hinterlässt.

Wen zielt TrickBot an?

Zunächst schien jeder ein Ziel für TrickBot zu sein. Aber in den letzten Jahren scheinen seine Ziele spezifischer geworden zu sein—wie Benutzer von Outlook oder T-Mobile. Gelegentlich findet man TrickBot als steuerlich thematisierten Spam, insbesondere während der Steuersaison.

Im Jahr 2019 entdeckten Forscher von DeepInstinct ein Repository von gesammelten E-Mail-Adressen und/oder Messenger-Zugangsdaten von Millionen von Nutzern. Diese gehören zu Nutzern von Gmail, Hotmail, Yahoo, AOL und MSN.

Wie kann ich mich vor TrickBot schützen?

Zu verstehen, wie TrickBot funktioniert, ist der erste Schritt, um zu wissen, wie Organisationen und Verbraucher sich davor schützen können. Hier sind ein paar andere Dinge, auf die Sie achten sollten:

  1. Suchen Sie nach möglichen Indicators of Compromise (IOC), indem Sie Tools verwenden, die speziell dafür ausgelegt sind, wie das Farbar Recovery Scan Tool (FRST). Auf diese Weise identifizieren Sie infizierte Maschinen im Netzwerk.
  2. Sobald die Maschinen identifiziert sind, isolieren Sie infizierte Maschinen vom Netzwerk.
  3. Laden Sie Patches herunter und wenden Sie sie an, die die von TrickBot ausgenutzten Schwachstellen beheben.
  4. Deaktivieren Sie administrative Freigaben.
  5. Ändern Sie alle lokalen und Domänen-Administrator-Passwörter.
  6. Schützen Sie sich vor einer TrickBot-Infektion mit einem Cybersecurity-Programm, das mehrschichtigen Schutz bietet. Malwarebytes Business und Premium-Verbraucherprodukte erkennen und blockieren TrickBot in Echtzeit.

Wie kann ich TrickBot entfernen?

TrickBot ist nicht perfekt, und (wie wir gesehen haben) können die Entwickler manchmal schlampig sein. Wichtig ist, dass es entfernt werden kann. Business-Lösungen von Malwarebytes können einiges der harten Arbeit erleichtern, indem sie betroffene Systeme isolieren, beheben und vor zukünftigen Infektionen durch TrickBot und andere böse Malware-Strains schützen.