Wat is TrickBot-malware?
TrickBot (of "TrickLoader") is een erkend Trojaans bank programma dat zowel bedrijven als consumenten als doelwit heeft voor hun gegevens, zoals bankgegevens, rekeninggegevens, persoonlijk identificeerbare informatie (PII) en zelfs bitcoins. Deze zeer modulaire malware kan zich aanpassen aan elke omgeving of elk netwerk waarin het zich bevindt.
De vele trucs die deze Trojaan heeft uitgehaald sinds de ontdekking in 2016 worden toegeschreven aan de creativiteit en behendigheid van de ontwikkelaars. Bovenop het stelen heeft TrickBot de mogelijkheid gekregen om zich lateraal te verplaatsen en voet aan de grond te krijgen binnen een aangetast netwerk met behulp van exploits, kopieën van zichzelf te verspreiden via Server Message Block (SMB) shares, andere malware zoals Ryuk ransomware te droppen en te zoeken naar documenten en mediabestanden op geïnfecteerde hostmachines.
Hoe verspreidt TrickBot zich?
Net als Emotet komt TrickBot op aangetaste systemen terecht in de vorm van ingesloten URL's of geïnfecteerde bijlagen in kwaadaardige spam(malspam) campagnes.
Eenmaal uitgevoerd, verspreidt TrickBot zich lateraal binnen het netwerk door gebruik te maken van het SMB-lek met een van de drie algemeen bekende NSA-exploits: EternalBlue, EternalRomance of EternalChampion.
Emotet kan ook TrickBot laten vallen als onderdeel van een secundaire infectie.
Wat is de geschiedenis van TrickBot?
TrickBot begon als een bancaire informatiediefstal, maar niets is eenvoudig, zelfs niet vanaf het begin.
Toen onderzoekers van Malwarebytes TrickBot in 2016 ontdekten, beschikte het al over eigenschappen die je normaal gesproken niet ziet bij "eenvoudige" credential stealers. In eerste instantie was het gericht op financiële diensten en gebruikers voor bankgegevens. Het laat ook andere malware vallen.
TrickBot heeft de reputatie de opvolger te zijn van Dyreza, een andere credential stealer die voor het eerst in het wild verscheen in 2014. TrickBot deelde overeenkomsten met Dyreza, zoals bepaalde variabelen met vergelijkbare waarden en de manier waarop de makers van TrickBot de command-and-control (C&C) servers opzetten waarmee TrickBot communiceert. Hierdoor denken veel onderzoekers dat de persoon of groep die Dyreza heeft gemaakt, ook TrickBot heeft gemaakt.
In 2017 voegden de ontwikkelaars een wormmodule toe aan TrickBot, die volgens ons geïnspireerd was door succesvolle ransomwarecampagnes met wormachtigingen, zoals WannaCry en EternalPetya. De ontwikkelaars voegden ook een module toe om Outlook-referenties te verzamelen. Waarom Outlook? Wel, honderden organisaties en miljoenen individuen wereldwijd gebruiken meestal deze webmailservice. Het bereik van gegevens die TrickBot steelt is ook uitgebreid: cookies, browsergeschiedenis, bezochte URL's, Flash LSO (Local Shared Objects) en nog veel meer.
Hoewel deze modules toen nieuw waren, waren ze niet goed gecodeerd.
In 2018 ging TrickBot door met het misbruiken van het SMB-lek. Het was ook uitgerust met de module die de realtime bewaking van Windows Defender uitschakelt met een PowerShell-opdracht. Hoewel het ook zijn versleutelingsalgoritme had bijgewerkt, bleef de rest van de modulefunctie hetzelfde. De ontwikkelaars van TrickBot begonnen ook hun code te beveiligen tegen het uit elkaar halen door beveiligingsonderzoekers door verduisteringselementen toe te voegen.
Aan het einde van het jaar werd TrickBot gerangschikt als de grootste bedreiging voor bedrijven, waarbij Emotet werd ingehaald.
De ontwikkelaars van TrickBot hebben in 2019 opnieuw enkele wijzigingen aangebracht aan de Trojan. Ze hebben met name wijzigingen aangebracht in de manier waarop de webinject-functie werkt tegen de Amerikaanse mobiele providers Sprint, Verizon Wireless en T-Mobile.
Onlangs hebben onderzoekers een verbetering opgemerkt in de ontwijkingsmethode van deze Trojan . Mworm, de module die verantwoordelijk is voor het verspreiden van een kopie van zichzelf, werd vervangen door een nieuwe module genaamd Nworm. Deze nieuwe module wijzigt het HTTP-verkeer van TrickBot, waardoor het vanuit het geheugen kan worden uitgevoerd nadat het een domeincontroller heeft geïnfecteerd. Dit zorgt ervoor dat TrickBot geen sporen van infectie achterlaat op aangetaste machines.
Op wie richt Trickbot zich?
In het begin leek iedereen een doelwit van TrickBot te zijn. Maar de laatste jaren lijken de doelwitten specifieker te zijn geworden, zoals Outlook- of T-Mobile-gebruikers. Soms wordt TrickBot tijdens het belastingseizoen vermomd als spam met een belastingthema.
In 2019 vonden onderzoekers van DeepInstinct een opslagplaats van geoogste e-mailadressen en/of messengergegevens van miljoenen gebruikers. Deze behoren toe aan gebruikers van Gmail, Hotmail, Yahoo, AOL en MSN.
Hoe kan ik mezelf beschermen tegen TrickBot?
Leren hoe TrickBot werkt is de eerste stap om te weten hoe organisaties en consumenten zich ertegen kunnen beschermen. Hier zijn enkele andere dingen om op te letten:
- Zoek naar mogelijke Indicators of Compromise (IOC) door tools uit te voeren die hier speciaal voor ontworpen zijn, zoals de Farbar Recovery Scan Tool (FRST). Hierdoor worden geïnfecteerde machines binnen het netwerk geïdentificeerd.
- Isoleer geïnfecteerde machines van het netwerk zodra ze zijn geïdentificeerd.
- Download en pas patches toe die de kwetsbaarheden aanpakken waar TrickBot misbruik van maakt.
- Administratieve aandelen uitschakelen.
- Wijzig alle lokale en domeinbeheerderswachtwoorden.
- Bescherm uzelf tegen een TrickBot-infectie met een cyberbeveiligingsprogramma met gelaagde bescherming. Malwarebytes zakelijke en premium consumentenproducten detecteren en blokkeren TrickBot in realtime.
Hoe kan ik TrickBot verwijderen?
TrickBot is niet perfect en (zoals we hebben gezien) de ontwikkelaars kunnen soms slordig zijn. Wat belangrijk is, is dat het kan worden verwijderd. Malwarebytes zakelijke oplossingen kunnen een deel van het harde werk verlichten door getroffen systemen te isoleren, te herstellen en te beschermen tegen toekomstige infecties van TrickBot en andere vervelende malwarestammen.