Czym jest złośliwe oprogramowanie TrickBot?
TrickBot (lub "TrickLoader") jest uznanym trojanem bankowym, który atakuje zarówno firmy, jak i konsumentów w celu uzyskania ich danych, takich jak informacje bankowe, dane uwierzytelniające konta, dane osobowe (PII), a nawet bitcoiny. Jako wysoce modularne złośliwe oprogramowanie może dostosować się do każdego środowiska lub sieci, w której się znajdzie.
Liczne sztuczki, jakich dokonał ten trojan od czasu jego odkrycia w 2016 r., przypisuje się kreatywności i zwinności jego twórców. Oprócz kradzieży, TrickBot otrzymał możliwość poruszania się na boki i zdobywania przyczółka w zainfekowanej sieci za pomocą exploitów, propagowania swoich kopii za pośrednictwem udziałów Server Message Block (SMB), upuszczania innego złośliwego oprogramowania, takiego jak Ryuk ransomware, oraz wyszukiwania dokumentów i plików multimedialnych na zainfekowanych komputerach hosta.
Jak rozprzestrzenia się TrickBot?
Podobnie jak Emotet, TrickBot dociera do zaatakowanych systemów w postaci osadzonych adresów URL lub zainfekowanych załączników w złośliwych kampaniach spamowych(malspam).
Po uruchomieniu TrickBot rozprzestrzenia się w sieci, wykorzystując lukę w zabezpieczeniach SMB przy użyciu jednego z trzech powszechnie znanych exploitów NSA: EternalBlue, EternalRomance lub EternalChampion.
Emotet może również upuścić TrickBot jako część wtórnej infekcji.
Jaka jest historia TrickBota?
TrickBot zaczynał jako złodziej informacji bankowych, ale nic nie jest proste - nawet od samego początku.
Kiedy badacze Malwarebytes początkowo znaleźli TrickBota w 2016 roku, posiadał on już atrybuty, których zwykle nie spotyka się w "prostych" programach do kradzieży danych uwierzytelniających. Początkowo jego celem były usługi finansowe i użytkownicy danych bankowych. Zrzuca również inne złośliwe oprogramowanie.
TrickBot ma reputację następcy Dyrezy, innego programu do kradzieży danych uwierzytelniających, który po raz pierwszy pojawił się na wolności w 2014 roku. TrickBot dzielił podobieństwa z Dyrezą, takie jak pewne zmienne o podobnych wartościach i sposób, w jaki twórcy TrickBota skonfigurowali serwery dowodzenia i kontroli (C&C), z którymi TrickBot się komunikuje. Doprowadziło to wielu badaczy do przekonania, że osoba lub grupa, która stworzyła Dyreza, stworzyła również TrickBota.
W 2017 r. programiści dodali do TrickBota moduł robaka, który naszym zdaniem został zainspirowany udanymi kampaniami ransomware z funkcjami podobnymi do robaków, takimi jak WannaCry i EternalPetya. Deweloperzy dodali również moduł do zbierania danych uwierzytelniających Outlooka. Dlaczego Outlook? Cóż, setki organizacji i miliony osób na całym świecie zwykle korzystają z tej usługi poczty internetowej. Poszerzył się również zakres danych, które kradnie TrickBot: pliki cookie, historia przeglądania, odwiedzane adresy URL, Flash LSO (Local Shared Objects) i wiele innych.
Chociaż moduły te były wówczas nowe, nie były dobrze zakodowane.
W 2018 roku TrickBot nadal wykorzystywał lukę w zabezpieczeniach SMB. Był również wyposażony w moduł, który wyłącza monitorowanie w czasie rzeczywistym Windows Defender za pomocą polecenia PowerShell. Zaktualizowano również algorytm szyfrowania, ale reszta funkcji modułu pozostała taka sama. Deweloperzy TrickBota zaczęli również zabezpieczać swój kod przed rozebraniem go na części przez badaczy bezpieczeństwa poprzez włączenie elementów zaciemniających.
Pod koniec roku TrickBot został uznany za największe zagrożenie dla firm, wyprzedzając Emotet.
Deweloperzy TrickBot ponownie wprowadzili pewne zmiany w trojanie w 2019 roku. W szczególności wprowadzili zmiany w sposobie działania funkcji webinject przeciwko amerykańskim operatorom komórkowym, Sprint, Verizon Wireless i T-Mobile.
Niedawno badacze zauważyli ulepszenie w metodzie omijania tego trojana. Mworm, moduł odpowiedzialny za rozprzestrzenianie kopii samego siebie, został zastąpiony nowym modułem o nazwie Nworm. Ten nowy moduł zmienia ruch HTTP TrickBota, umożliwiając mu uruchamianie się z pamięci po zainfekowaniu kontrolera domeny. Dzięki temu TrickBot nie pozostawia żadnych śladów infekcji na zainfekowanych maszynach.
Kto jest celem Trickbota?
Początkowo wydawało się, że każdy może być celem TrickBota. Jednak w ostatnich latach jego cele stały się bardziej specyficzne - jak użytkownicy Outlooka czy T-Mobile. Czasami TrickBot jest maskowany jako spam o tematyce podatkowej w sezonie podatkowym.
W 2019 r. badacze z DeepInstinct znaleźli repozytorium zebranych adresów e-mail i/lub danych uwierzytelniających komunikatorów od milionów użytkowników. Należą one do użytkowników Gmaila, Hotmaila, Yahoo, AOL i MSN.
Jak mogę chronić się przed TrickBotem?
Poznanie sposobu działania TrickBota jest pierwszym krokiem do poznania sposobów, w jakie organizacje i konsumenci mogą się przed nim chronić. Oto kilka innych rzeczy, na które należy zwrócić uwagę:
- Poszukaj możliwych wskaźników naruszenia bezpieczeństwa (IOC), uruchamiając specjalnie zaprojektowane do tego narzędzia, takie jak Farbar Recovery Scan Tool (FRST). Pozwoli to zidentyfikować zainfekowane maszyny w sieci.
- Po zidentyfikowaniu komputerów należy odizolować zainfekowane maszyny od sieci.
- Pobierz i zastosuj poprawki, które usuwają luki w zabezpieczeniach wykorzystywane przez TrickBot.
- Wyłączenie udziałów administracyjnych.
- Zmień wszystkie hasła administratora lokalnego i domeny.
- Chroń się przed infekcją TrickBot za pomocą programu cyberbezpieczeństwa, który ma wielowarstwową ochronę. Malwarebytes produkty biznesowe i konsumenckie premium wykrywają i blokują TrickBot w czasie rzeczywistym.
Jak mogę usunąć TrickBot?
TrickBot nie jest doskonały, a (jak widzieliśmy) programiści mogą być czasami niechlujni. Co ważne, można go usunąć. Rozwiązania biznesoweMalwarebytes mogą ułatwić część ciężkiej pracy, izolując dotknięte systemy, naprawiając je i chroniąc je przed przyszłymi infekcjami TrickBot i innymi paskudnymi szczepami złośliwego oprogramowania.