Was ist TrickBot-Malware?
TrickBot (oder "TrickLoader") ist ein anerkannter Banking-Trojaner, der es sowohl auf Unternehmen als auch auf Privatpersonen abgesehen hat, um deren Daten zu erbeuten, z. B. Bankdaten, Kontodaten, persönliche Informationen und sogar Bitcoins. Da es sich um eine hochgradig modulare Malware handelt, kann sie sich an jede Umgebung oder jedes Netzwerk anpassen, in dem sie sich befindet.
Die vielen Tricks, die dieser Trojaner seit seiner Entdeckung im Jahr 2016 angewandt hat, sind auf die Kreativität und Agilität seiner Entwickler zurückzuführen. TrickBot kann nicht nur stehlen, sondern sich auch seitlich bewegen und mithilfe von Exploits in einem betroffenen Netzwerk Fuß fassen, Kopien von sich selbst über Server Message Block (SMB)-Freigaben verbreiten, andere Malware wie Ryuk-Ransomware einschleusen und nach Dokumenten und Mediendateien auf infizierten Host-Rechnern suchen.
Wie verbreitet sich TrickBot?
Wie Emotet gelangt TrickBot in Form von eingebetteten URLs oder infizierten Anhängen in bösartigen Spam-Kampagnen(Malspam) auf die betroffenen Systeme.
Sobald er ausgeführt wurde, verbreitet sich TrickBot seitlich im Netzwerk, indem er die SMB-Schwachstelle mit einem der drei bekannten NSA-Exploits ausnutzt: EternalBlue, EternalRomance oder EternalChampion.
Emotet kann TrickBot auch als Teil einer Sekundärinfektion einschleusen.
Was ist die Geschichte von TrickBot?
TrickBot begann als Dieb von Bankdaten, aber nichts ist einfach - nicht einmal am Anfang.
Als die Forscher von Malwarebytes TrickBot im Jahr 2016 entdeckten, wies er bereits Eigenschaften auf, die man normalerweise bei "einfachen" Datendieben nicht findet. Zunächst hatte er es auf Finanzdienstleistungen und Nutzer für Bankdaten abgesehen. Er legt auch andere Malware ab.
TrickBot hat den Ruf, der Nachfolger von Dyreza zu sein , einem anderen Datendiebstahlprogramm, das erstmals 2014 in der freien Wildbahn auftauchte. TrickBot hat Ähnlichkeiten mit Dyreza, z. B. bestimmte Variablen mit ähnlichen Werten und die Art und Weise, wie die TrickBot-Schöpfer die Command-and-Control (C&C)-Server einrichten, mit denen TrickBot kommuniziert. Dies hat viele Forscher zu der Annahme veranlasst, dass die Person oder Gruppe, die Dyreza erstellt hat, auch TrickBot erstellt hat.
2017 fügten die Entwickler ein Wurm-Modul in TrickBot ein, das unserer Meinung nach von erfolgreichen Ransomware-Kampagnen mit wurmähnlichen Fähigkeiten wie WannaCry und EternalPetya inspiriert wurde . Die Entwickler fügten auch ein Modul hinzu, um Outlook-Anmeldeinformationen zu sammeln. Warum Outlook? Nun, Hunderte von Unternehmen und Millionen von Einzelpersonen weltweit nutzen in der Regel diesen Webmail-Dienst. Die Palette der Daten, die TrickBot stiehlt, wurde ebenfalls erweitert: Cookies, Browserverlauf, besuchte URLs, Flash LSO (Local Shared Objects) und vieles mehr.
Obwohl diese Module damals neu waren, waren sie nicht gut kodiert.
Im Jahr 2018 nutzte TrickBot weiterhin die SMB-Schwachstelle aus. Er war auch mit dem Modul ausgestattet, das die Echtzeitüberwachung von Windows Defender mit einem PowerShell-Befehl deaktiviert. Während der Verschlüsselungsalgorithmus aktualisiert wurde, blieb der Rest der Modulfunktion unverändert. Die TrickBot-Entwickler begannen auch damit, ihren Code vor dem Zugriff von Sicherheitsforschern zu schützen, indem sie Elemente zur Verschleierung einbauten.
Am Ende des Jahres wurde TrickBot als die größte Bedrohung für Unternehmen eingestuft und überholte damit Emotet.
Die Entwickler von TrickBot haben 2019 erneut einige Änderungen an dem Trojaner vorgenommen. Insbesondere haben sie Änderungen an der Art und Weise vorgenommen, wie die Webinject-Funktion gegen die in den USA ansässigen Mobilfunkanbieter Sprint, Verizon Wireless und T-Mobile funktioniert.
Vor kurzem haben Forscher eine Verbesserung der Umgehungsmethode dieses Trojaners festgestellt . Mworm, das Modul, das für die Verbreitung einer Kopie von sich selbst verantwortlich ist, wurde durch ein neues Modul namens Nworm ersetzt. Dieses neue Modul verändert den HTTP-Verkehr von TrickBot, so dass er nach der Infektion eines Domain-Controllers aus dem Speicher ausgeführt werden kann. Dadurch wird sichergestellt, dass TrickBot keine Spuren der Infektion auf den betroffenen Computern hinterlässt.
Wer ist das Ziel von Trickbot?
Zunächst schien jeder ein Ziel von TrickBot zu sein. Aber in den letzten Jahren scheinen seine Ziele spezifischer geworden zu sein - wie Outlook- oder T-Mobile-Nutzer. Manchmal wird TrickBot während der Steuersaison als Spam mit dem Thema Steuern getarnt.
Im Jahr 2019 fanden Forscher von DeepInstinct ein Repository mit erbeuteten E-Mail-Adressen und/oder Messenger-Anmeldeinformationen von Millionen von Nutzern. Diese gehören zu Nutzern von Gmail, Hotmail, Yahoo, AOL und MSN.
Wie kann ich mich vor TrickBot schützen?
Zu wissen, wie TrickBot funktioniert, ist der erste Schritt, um zu erfahren, wie sich Unternehmen und Verbraucher davor schützen können. Hier sind einige weitere Dinge, die Sie beachten sollten:
- Suchen Sie nach möglichen Kompromittierungsindikatoren (Indicators of Compromise, IOC), indem Sie speziell dafür entwickelte Tools wie das Farbar Recovery Scan Tool (FRST) ausführen. Auf diese Weise lassen sich infizierte Rechner im Netzwerk identifizieren.
- Sobald die Rechner identifiziert sind, isolieren Sie die infizierten Rechner vom Netzwerk.
- herunterladen und Patches anwenden, die die Schwachstellen beheben, die TrickBot ausnutzt.
- Deaktivieren Sie administrative Freigaben.
- Ändern Sie alle lokalen und Domänenadministrator-Passwörter.
- Schützen Sie sich vor einer Infektion durch TrickBot mit einem Cybersecurity-Programm, das über einen mehrschichtigen Schutz verfügt. Malwarebytes Business- und Premium Consumer-Produkte erkennen und blockieren TrickBot in Echtzeit.
Wie kann ich TrickBot entfernen?
TrickBot ist nicht perfekt, und (wie wir gesehen haben) können die Entwickler manchmal schlampig sein. Wichtig ist, dass er entfernt werden kann. Malwarebytes Unternehmenslösungen können einen Teil der harten Arbeit erleichtern, indem sie betroffene Systeme isolieren, sie bereinigen und sie vor zukünftigen Infektionen mit TrickBot und anderen bösartigen Malware-Stämmen schützen.