Wat is TrickBot-malware?
TrickBot (of "TrickLoader") is een erkende banking Trojan die zich richt op zowel bedrijven als consumenten om hun gegevens te stelen, zoals bankinformatie, accountinloggegevens,persoonlijk identificeerbare informatie (PII) en zelfs bitcoins. Als een zeer modulaire malware kan het zich aanpassen aan elke omgeving of netwerk waarin het zich bevindt.
De vele trucs die deze Trojan sinds zijn ontdekking in 2016 heeft uitgehaald, zijn te danken aan de creativiteit en wendbaarheid van zijn ontwikkelaars. Naast het stelen, heeft TrickBot mogelijkheden gekregen om zich zijwaarts te verplaatsen en om voet aan de grond te krijgen binnen een aangetast netwerk via exploits, om kopieën van zichzelf te verspreiden via Server Message Block (SMB) delen, andere malware zoals Ryuk ransomware te droppen, en om documenten en mediabestanden te zoeken op geïnfecteerde hosts.
Hoe verspreidt TrickBot zich?
Net als Emotet komt TrickBot op getroffen systemen binnen in de vorm van ofwel ingesloten URL's of geïnfecteerde bijlagen in kwaadaardige spam (malspam) campagnes.
Zodra het is uitgevoerd, verspreidt TrickBot zich zijwaarts binnen het netwerk door de SMB-kwetsbaarheid te exploiteren met een van de drie algemeen bekende NSA-exploits: EternalBlue, EternalRomance of EternalChampion.
Emotet kan TrickBot ook laten vallen als onderdeel van een secundaire infectie.
Wat is de geschiedenis van TrickBot?
TrickBot begon als een dief van bankinformatie, maar niets aan TrickBot is simpel—zelfs niet vanaf het begin.
Toen Malwarebytes-onderzoekers TrickBot voor het eerst ontdekten in 2016, had het al eigenschappen die men normaal gesproken niet ziet in 'simpele' credential-dieven. In eerste instantie richtte het zich op financiële diensten en gebruikers voor bankgegevens. Het dropt ook andere malware.
TrickBot heeft de reputatie de opvolger te zijn van Dyreza, een andere inloggegevensdief die voor het eerst in 2014 opdook. TrickBot vertoonde gelijkenissen met Dyreza, zoals bepaalde variabelen met vergelijkbare waarden en de manier waarop TrickBot-makers de command-and-control (C&C) servers instellen waarmee TrickBot communiceert. Dit heeft veel onderzoekers ertoe gebracht te geloven dat de persoon of groep die Dyreza heeft gemaakt, ook TrickBot heeft gemaakt.
In 2017, voegden ontwikkelaars een wormmodule toe aan TrickBot, waarvan wij denken dat deze is geïnspireerd door succesvolle ransomware-campagnes met wormachtige capaciteiten, zoals WannaCry en EternalPetya. De ontwikkelaars voegden ook een module toe om Outlook-gegevens van gebruikers te verzamelen. Waarom Outlook? Nou, honderden organisaties en miljoenen individuen wereldwijd gebruiken deze webmaildienst meestal. Het scala aan gegevens dat TrickBot steelt, is ook uitgebreid: cookies, browsegeschiedenis, bezochte URL's, Flash LSO (Local Shared Objects), en nog veel meer.
Hoewel deze modules toen nieuw waren, waren ze niet goed gecodeerd.
In 2018, bleef TrickBot de SMB-kwetsbaarheid benutten. Het was ook uitgerust met de module die Windows Defender's realtime monitoring uitschakelt met een PowerShell-opdracht. Terwijl het ook zijn versleutelingsalgoritme had bijgewerkt, bleef de rest van de modulefuncites hetzelfde. TrickBot-ontwikkelaars begonnen ook hun code te beveiligen tegen demontage door beveiligingsonderzoekers door gebruik te maken van verdoezelingselementen.
Aan het eind van het jaar werd TrickBot gerangschikt als de grootste bedreiging voor bedrijven, en overtrof het Emotet.
TrickBot-ontwikkelaars brachten in 2019 weer aanpassingen aan de Trojan aan. Ze pasten specifiek de werking van de webinjectiefunctie tegen Amerikaanse mobiele operators aan, zoals Sprint, Verizon Wireless en T-Mobile.
Onlangs hebben onderzoekers een verbetering opgemerkt in de ontwijkingsmethode van deze Trojan's. Mworm, de module die verantwoordelijk was voor het verspreiden van een kopie van zichzelf, is vervangen door een nieuwe module genaamd Nworm. Deze nieuwe module verandert TrickBot's HTTP-verkeer, waardoor het vanuit het geheugen kan werken nadat het een domeincontroller heeft geïnfecteerd. Dit zorgt ervoor dat TrickBot geen sporen van infectie achterlaat op getroffen machines.
Wie is het doelwit van TrickBot?
Aanvankelijk leek iedereen een doelwit van TrickBot te kunnen zijn. Maar de afgelopen jaren lijken de doelen specifieker te zijn geworden—zoals gebruikers van Outlook of T-Mobile. Soms wordt TrickBot gevonden verhuld als spam met belastingthema's tijdens het belastingseizoen.
In 2019 ontdekten onderzoekers van DeepInstinct een repository met geoogste e-mailadressen en/of messenger-inloggegevens van miljoenen gebruikers. Deze behoren tot gebruikers van Gmail, Hotmail, Yahoo, AOL en MSN.
Hoe kan ik mezelf beschermen tegen TrickBot?
Leren hoe TrickBot werkt, is de eerste stap om te weten hoe organisaties en consumenten zichzelf kunnen beschermen. Hier zijn enkele andere zaken waar je op moet letten:
- Zoek naar mogelijke Indicators of Compromise (IOC) door tools te gebruiken die speciaal hiervoor zijn ontworpen, zoals de Farbar Recovery Scan Tool (FRST). Hiermee worden geïnfecteerde machines binnen het netwerk geïdentificeerd.
- Zodra machines zijn geïdentificeerd, isoleer de geïnfecteerde machines van het netwerk.
- Download en pas patches toe die de kwetsbaarheden aanpakken die TrickBot exploiteert.
- Schakel administratieve shares uit.
- Wijzig alle lokale en domeinbeheerder wachtwoorden.
- Bescherm jezelf tegen een TrickBot-infectie met een cybersecurity programma dat meerdere lagen bescherming biedt. Malwarebytes' business en premium consumer producten detecteren en blokkeren TrickBot in real-time.
Hoe kan ik TrickBot verwijderen?
TrickBot is niet perfect, en (zoals we hebben gezien) kunnen de ontwikkelaars soms slordig zijn. Belangrijk is dat het kan worden verwijderd. Malwarebytes zakelijke oplossingen kunnen een deel van het zware werk vergemakkelijken door getroffen systemen te isoleren, ze te herstellen en hen te beschermen tegen toekomstige infecties van TrickBot en andere vervelende malware-strains.