Trickbot

TrickBot ist ein Banking-Trojaner, der Finanzdaten, Kontodaten und persönliche Informationen stehlen sowie sich in einem Netzwerk verbreiten und Ransomware, insbesondere Ryuk, absetzen kann.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Was ist TrickBot-Malware?

TrickBot (oder „TrickLoader“) ist ein bekannter Banking-Trojaner, der sowohl Unternehmen als auch Privatpersonen auf ihre Daten, wie Bankinformationen, Kontozugangsdaten, personenbezogene Daten (PII) und sogar Bitcoins abzielt. Als hochgradig modulare Malware kann sie sich an jede Umgebung oder jedes Netzwerk anpassen, in dem sie sich befindet.

Die vielen Tricks, die dieser Trojaner seit seiner Entdeckung im Jahr 2016 angewandt hat, sind auf die Kreativität und Agilität seiner Entwickler zurückzuführen. TrickBot kann nicht nur stehlen, sondern sich auch seitlich bewegen und mithilfe von Exploits in einem betroffenen Netzwerk Fuß fassen, Kopien von sich selbst über Server Message Block (SMB)-Freigaben verbreiten, andere Malware wie Ryuk-Ransomware einschleusen und nach Dokumenten und Mediendateien auf infizierten Host-Rechnern suchen.

Wie verbreitet sich TrickBot?

Wie Emotet gelangt TrickBot in Form von eingebetteten URLs oder infizierten Anhängen in bösartigen Spam-Kampagnen(Malspam) auf die betroffenen Systeme.

Sobald er ausgeführt wurde, verbreitet sich TrickBot seitlich im Netzwerk, indem er die SMB-Schwachstelle mit einem der drei bekannten NSA-Exploits ausnutzt: EternalBlue, EternalRomance oder EternalChampion.

Emotet kann TrickBot auch als Teil einer Sekundärinfektion einschleusen.

Was ist die Geschichte von TrickBot?

TrickBot begann als Dieb von Bankinformationen, doch nichts daran ist einfach—selbst von Anfang an.

Als Malwarebytes-Forscher 2016 TrickBot zum ersten Mal entdeckten, prahlte es bereits mit Attributen, die man bei „einfachen“ Zugangsdaten-Dieben normalerweise nicht sieht. Anfangs zielte es auf Finanzdienstleistungen und Nutzer für Bankdaten. Es legt auch andere Malware ab.

TrickBot hat sich den Ruf erarbeitet, der Nachfolger von Dyreza zu sein, einem anderen Zugangsdaten-Dieb, der 2014 erstmals auftauchte. TrickBot teilte Ähnlichkeiten mit Dyreza, wie bestimmte Variablen mit ähnlichen Werten und die Art, wie TrickBot-Ersteller die Befehls- und Steuerungsserver (C&C) eingerichtet haben, mit denen TrickBot kommuniziert. Dies hat viele Forscher zu der Überzeugung geführt, dass die Person oder Gruppe, die Dyreza erstellt hat, auch TrickBot erstellt hat.

2017 nahmen die Entwickler ein Wurm-Modul in TrickBot auf, das unserer Meinung nach von erfolgreichen Ransomware-Kampagnen mit wurmähnlichen Fähigkeiten wie WannaCry und EternalPetya inspiriert wurde . Die Entwickler fügten auch ein Modul hinzu, um Outlook-Anmeldeinformationen zu sammeln. Warum Outlook? Nun, Hunderte von Unternehmen und Millionen von Einzelpersonen weltweit nutzen in der Regel diesen Webmail-Dienst. Die Palette der Daten, die TrickBot stiehlt, wurde ebenfalls erweitert: Cookies, Browserverlauf, besuchte URLs, Flash LSO (Local Shared Objects) und vieles mehr.

Obwohl diese Module zu dieser Zeit neu waren, waren sie nicht gut codiert.

Im Jahr 2018 nutzte TrickBot weiterhin die SMB-Schwachstelle aus. Es war auch mit dem Modul ausgestattet, das das Echtzeit-Monitoring von Windows Defender mit einem PowerShell-Befehl deaktiviert. Während es auch seinen Verschlüsselungsalgorithmus aktualisiert hat, blieb der Rest seiner Modulfunktion gleich. Die TrickBot-Entwickler begannen außerdem, ihren Code zu sichern, indem sie Verschleierungselemente integrierten, damit Sicherheitsforscher ihn nicht auseinandernehmen können.

Am Ende des Jahres wurde TrickBot als die größte Bedrohung für Unternehmen eingestuft und überholte damit Emotet.

TrickBot-Entwickler nahmen 2019 Veränderungen am Trojaner vor. Insbesondere änderten sie die Funktionsweise des Webinject-Features gegenüber den US-amerikanischen Mobilfunkanbietern Sprint, Verizon Wireless und T-Mobile.

Vor kurzem haben Forscher eine Verbesserung der Umgehungsmethode dieses Trojaners festgestellt . Mworm, das Modul, das für die Verbreitung einer Kopie von sich selbst verantwortlich ist, wurde durch ein neues Modul namens Nworm ersetzt. Dieses neue Modul verändert den HTTP-Verkehr von TrickBot, so dass er nach der Infektion eines Domain-Controllers aus dem Speicher ausgeführt werden kann. Dadurch wird sichergestellt, dass TrickBot keine Spuren der Infektion auf den betroffenen Computern hinterlässt.

Wen zielt TrickBot an?

Zunächst schien jeder ein Ziel für TrickBot zu sein. Aber in den letzten Jahren scheinen seine Ziele spezifischer geworden zu sein—wie Benutzer von Outlook oder T-Mobile. Gelegentlich findet man TrickBot als steuerlich thematisierten Spam, insbesondere während der Steuersaison.

Im Jahr 2019 entdeckten Forscher von DeepInstinct ein Repository von gesammelten E-Mail-Adressen und/oder Messenger-Zugangsdaten von Millionen von Nutzern. Diese gehören zu Nutzern von Gmail, Hotmail, Yahoo, AOL und MSN.

Wie kann ich mich vor TrickBot schützen?

Zu verstehen, wie TrickBot funktioniert, ist der erste Schritt, um zu wissen, wie Organisationen und Verbraucher sich davor schützen können. Hier sind ein paar andere Dinge, auf die Sie achten sollten:

  1. Suchen Sie nach möglichen Indicators of Compromise (IOC), indem Sie Tools verwenden, die speziell dafür ausgelegt sind, wie das Farbar Recovery Scan Tool (FRST). Auf diese Weise identifizieren Sie infizierte Maschinen im Netzwerk.
  2. Sobald die Maschinen identifiziert sind, isolieren Sie infizierte Maschinen vom Netzwerk.
  3. Laden Sie Patches herunter und wenden Sie sie an, die die von TrickBot ausgenutzten Schwachstellen beheben.
  4. Deaktivieren Sie administrative Freigaben.
  5. Ändern Sie alle lokalen und Domänen-Administrator-Passwörter.
  6. Schützen Sie sich vor einer TrickBot-Infektion mit einem Cybersecurity-Programm, das mehrschichtigen Schutz bietet. Malwarebytes Business und Premium-Verbraucherprodukte erkennen und blockieren TrickBot in Echtzeit.

Wie kann ich TrickBot entfernen?

TrickBot ist nicht perfekt, und (wie wir gesehen haben) können die Entwickler manchmal schlampig sein. Wichtig ist, dass es entfernt werden kann. Business-Lösungen von Malwarebytes können einiges der harten Arbeit erleichtern, indem sie betroffene Systeme isolieren, beheben und vor zukünftigen Infektionen durch TrickBot und andere böse Malware-Strains schützen.