Wat is TrickBot-malware?
TrickBot (of "TrickLoader") is een erkende banking Trojan die zich richt op zowel bedrijven als consumenten om hun gegevens te stelen, zoals bankinformatie, accountinloggegevens,persoonlijk identificeerbare informatie (PII) en zelfs bitcoins. Als een zeer modulaire malware kan het zich aanpassen aan elke omgeving of netwerk waarin het zich bevindt.
De vele trucs die deze Trojaan heeft uitgehaald sinds de ontdekking in 2016 worden toegeschreven aan de creativiteit en behendigheid van de ontwikkelaars. Bovenop het stelen heeft TrickBot de mogelijkheid gekregen om zich lateraal te verplaatsen en voet aan de grond te krijgen binnen een aangetast netwerk met behulp van exploits, kopieën van zichzelf te verspreiden via Server Message Block (SMB) shares, andere malware zoals Ryuk ransomware te droppen en te zoeken naar documenten en mediabestanden op geïnfecteerde hostmachines.
Hoe verspreidt TrickBot zich?
Net als Emotet komt TrickBot op aangetaste systemen terecht in de vorm van ingesloten URL's of geïnfecteerde bijlagen in kwaadaardige spam(malspam) campagnes.
Eenmaal uitgevoerd, verspreidt TrickBot zich lateraal binnen het netwerk door gebruik te maken van het SMB-lek met een van de drie algemeen bekende NSA-exploits: EternalBlue, EternalRomance of EternalChampion.
Emotet kan ook TrickBot laten vallen als onderdeel van een secundaire infectie.
Wat is de geschiedenis van TrickBot?
TrickBot begon als een dief van bankinformatie, maar niets aan TrickBot is simpel—zelfs niet vanaf het begin.
Toen Malwarebytes-onderzoekers TrickBot voor het eerst ontdekten in 2016, had het al eigenschappen die men normaal gesproken niet ziet in 'simpele' credential-dieven. In eerste instantie richtte het zich op financiële diensten en gebruikers voor bankgegevens. Het dropt ook andere malware.
TrickBot heeft de reputatie de opvolger te zijn van Dyreza, een andere inloggegevensdief die voor het eerst in 2014 opdook. TrickBot vertoonde gelijkenissen met Dyreza, zoals bepaalde variabelen met vergelijkbare waarden en de manier waarop TrickBot-makers de command-and-control (C&C) servers instellen waarmee TrickBot communiceert. Dit heeft veel onderzoekers ertoe gebracht te geloven dat de persoon of groep die Dyreza heeft gemaakt, ook TrickBot heeft gemaakt.
In 2017 voegden de ontwikkelaars een wormmodule toe aan TrickBot, die volgens ons was geïnspireerd door succesvolle ransomwarecampagnes met wormachtige mogelijkheden, zoals WannaCry en EternalPetya. De ontwikkelaars voegden ook een module toe om Outlook-referenties te verzamelen. Waarom Outlook? Wel, honderden organisaties en miljoenen individuen wereldwijd gebruiken meestal deze webmailservice. De reeks gegevens die TrickBot steelt is ook uitgebreid: cookies, browsergeschiedenis, bezochte URL's, Flash LSO (Local Shared Objects) en nog veel meer.
Hoewel deze modules toen nieuw waren, waren ze niet goed gecodeerd.
In 2018, bleef TrickBot de SMB-kwetsbaarheid benutten. Het was ook uitgerust met de module die Windows Defender's realtime monitoring uitschakelt met een PowerShell-opdracht. Terwijl het ook zijn versleutelingsalgoritme had bijgewerkt, bleef de rest van de modulefuncites hetzelfde. TrickBot-ontwikkelaars begonnen ook hun code te beveiligen tegen demontage door beveiligingsonderzoekers door gebruik te maken van verdoezelingselementen.
Aan het eind van het jaar werd TrickBot gerangschikt als de grootste bedreiging voor bedrijven, en overtrof het Emotet.
TrickBot-ontwikkelaars brachten in 2019 weer aanpassingen aan de Trojan aan. Ze pasten specifiek de werking van de webinjectiefunctie tegen Amerikaanse mobiele operators aan, zoals Sprint, Verizon Wireless en T-Mobile.
Onlangs hebben onderzoekers een verbetering opgemerkt in de ontwijkingsmethode van deze Trojan . Mworm, de module die verantwoordelijk is voor het verspreiden van een kopie van zichzelf, werd vervangen door een nieuwe module genaamd Nworm. Deze nieuwe module wijzigt het HTTP-verkeer van TrickBot, waardoor het vanuit het geheugen kan worden uitgevoerd nadat het een domeincontroller heeft geïnfecteerd. Dit zorgt ervoor dat TrickBot geen sporen van infectie achterlaat op aangetaste machines.
Wie is het doelwit van TrickBot?
Aanvankelijk leek iedereen een doelwit van TrickBot te kunnen zijn. Maar de afgelopen jaren lijken de doelen specifieker te zijn geworden—zoals gebruikers van Outlook of T-Mobile. Soms wordt TrickBot gevonden verhuld als spam met belastingthema's tijdens het belastingseizoen.
In 2019 ontdekten onderzoekers van DeepInstinct een repository met geoogste e-mailadressen en/of messenger-inloggegevens van miljoenen gebruikers. Deze behoren tot gebruikers van Gmail, Hotmail, Yahoo, AOL en MSN.
Hoe kan ik mezelf beschermen tegen TrickBot?
Leren hoe TrickBot werkt, is de eerste stap om te weten hoe organisaties en consumenten zichzelf kunnen beschermen. Hier zijn enkele andere zaken waar je op moet letten:
- Zoek naar mogelijke Indicators of Compromise (IOC) door tools te gebruiken die speciaal hiervoor zijn ontworpen, zoals de Farbar Recovery Scan Tool (FRST). Hiermee worden geïnfecteerde machines binnen het netwerk geïdentificeerd.
- Zodra machines zijn geïdentificeerd, isoleer de geïnfecteerde machines van het netwerk.
- Download en pas patches toe die de kwetsbaarheden aanpakken die TrickBot exploiteert.
- Schakel administratieve shares uit.
- Wijzig alle lokale en domeinbeheerder wachtwoorden.
- Bescherm jezelf tegen een TrickBot-infectie met een cybersecurity programma dat meerdere lagen bescherming biedt. Malwarebytes' business en premium consumer producten detecteren en blokkeren TrickBot in real-time.
Hoe kan ik TrickBot verwijderen?
TrickBot is niet perfect, en (zoals we hebben gezien) kunnen de ontwikkelaars soms slordig zijn. Belangrijk is dat het kan worden verwijderd. Malwarebytes zakelijke oplossingen kunnen een deel van het zware werk vergemakkelijken door getroffen systemen te isoleren, ze te herstellen en hen te beschermen tegen toekomstige infecties van TrickBot en andere vervelende malware-strains.