Trickbot

TrickBot to trojan bankowy, który może wykradać dane finansowe, dane uwierzytelniające konta i dane osobowe (PII), a także rozprzestrzeniać się w sieci i upuszczać oprogramowanie ransomware, w szczególności Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Czym jest złośliwe oprogramowanie TrickBot?

TrickBot (lub „TrickLoader”) to dobrze znany bankowy trojan, który wykorzystuje zarówno biznes, jak i konsumentów do pozyskiwania ich danych, takich jak informacje bankowe, dane logowania, dane osobowe (PII), a nawet bitcoiny. Jako wysoce modułowe złośliwe oprogramowanie, może dostosować się do każdej napotkanej sieci.

Wielu 'trików', które ten trojan wykonał od swojego odkrycia w 2016 roku, można przypisać kreatywności i zwinności jego twórców. Poza kradzieżą, TrickBot został wyposażony w możliwości umożliwiające mu ruch boczny oraz zyskanie przyczepności w zainfekowanej sieci przy użyciu eksploitów, propagowanie kopii samodzielnie przez udziały SMB, zrzucanie innego złośliwego oprogramowania, takiego jak Ryuk ransomware, oraz wyszukiwanie dokumentów i plików multimedialnych na zainfekowanych maszynach.

Jak TrickBot się rozprzestrzenia?

Tak jak Emotet, TrickBot trafia na zainfekowane systemy w formie osadzonych URL-ów lub zainfekowanych załączników w kampaniach złośliwego spamu (malspam).

Po uruchomieniu, TrickBot rozprzestrzenia się w sieci, wykorzystując lukę w SMB za pomocą trzech powszechnie znanych exploitów NSA: EternalBlue, EternalRomance lub EternalChampion.

Emotet może również zrzucać TrickBota jako część wtórnej infekcji.

Jaka jest historia TrickBota?

TrickBot zaczął jako złodziej informacji bankowych, ale nic w nim nie jest proste — nawet od samego początku.

Kiedy badacze Malwarebytes po raz pierwszy odkryli TrickBota w 2016 roku, już miał cechy, które rzadko widuje się w 'prostych' kradzieżach danych uwierzytelniających. Początkowo celował w usługi finansowe i użytkowników w celu uzyskania danych bankowych. W krótkim czasie uzupełnił również inne złośliwe oprogramowanie.

TrickBot zdobył reputację jako następca Dyrezy, innego kradnącego dane uwierzytelniające, który pojawił się na wolności w 2014 roku. TrickBot miał podobieństwa do Dyrezy, takie jak określone zmienne o podobnych wartościach oraz sposób, w jaki twórcy TrickBota skonfigurowali serwery command-and-control (C&C), z którymi się komunikował. To doprowadziło wielu badaczy do przekonania, że osoba lub grupa, która stworzyła Dyrezę, stworzyła także TrickBota.

W 2017 roku deweloperzy dodali do TrickBota moduł robaka, który, jak uważamy, był inspirowany z powodzeniem przeprowadzonymi kampaniami ransomware o cechach robaka, takimi jak WannaCry i EternalPetya. Dodano również moduł do zbierania danych uwierzytelniających Outlook. Dlaczego Outlook? Cóż, setki organizacji i miliony osób na całym świecie zwykle korzystają z tej usługi webmail. Zakres danych kradzione przez TrickBota również się poszerzył: cookies, historia przeglądania, odwiedzane URL-e, Flash LSO (Local Shared Objects) i wiele innych.

Chociaż te moduły były nowe w tamtym czasie, nie były dobrze zakodowane.

W 2018 roku TrickBot nadal wykorzystywał lukę w SMB. Wyposażony był w moduł, który wyłączał monitorowanie w czasie rzeczywistym Windows Defender za pomocą polecenia PowerShell. Chociaż zaktualizował swój algorytm szyfrowania, reszta funkcji modułu pozostała bez zmian. Deweloperzy TrickBota zaczęli również chronić swój kod przed demontażem przez badaczy zabezpieczeń, wprowadzając elementy zaciemniające.

Pod koniec roku TrickBot uznawany był jako największe zagrożenie dla firm, wyprzedzając Emotet.

Twórcy TrickBota dokonali zmian w trojanie w 2019 r. Ponownie. Konkretnie, zmienili sposób, w jaki działa funkcja webinject przeciwko amerykańskim operatorom komórkowym, takim jak Sprint, Verizon Wireless i T-Mobile.

Ostatnio badacze zauważyli poprawę w metodzie unikania tego trojana. Moduł Mworm, odpowiedzialny za rozprzestrzenianie kopii samego siebie, został zastąpiony nowym modułem o nazwie Nworm. Ten nowy moduł zmienia ruch HTTP TrickBota, pozwalając mu na działanie z pamięci po zainfekowaniu kontrolera domeny. To zapewnia, że TrickBot nie pozostawia śladów infekcji na zainfekowanych maszynach.

Kogo celuje Trickbot?

Na początku każdy mógł być celem TrickBota. Ale w ostatnich latach, jego cele wydają się być bardziej specyficzne — na przykład użytkownicy Outlook lub T-Mobile. Czasami TrickBot pojawia się udając spam podatkowy podczas sezonu podatkowego.

W 2019 roku badacze z DeepInstinct odkryli repozytorium zawierające pobrane adresy e-mail i/lub dane uwierzytelniające komunikatorów do milionów użytkowników. Należą one do użytkowników Gmaila, Hotmail, Yahoo, AOL i MSN.

Jak mogę się chronić przed TrickBotem?

Poznanie sposobu działania TrickBota to pierwszy krok do dowiedzenia się, jak organizacje i konsumenci mogą się przed nim chronić. Oto kilka rzeczy, na które należy zwrócić uwagę:

  1. Szukaj możliwych wskaźników kompromisu (IOC) używając narzędzi zaprojektowanych specjalnie do tego celu, takich jak Farbar Recovery Scan Tool (FRST). Robiąc to, zidentyfikujesz zainfekowane maszyny w sieci.
  2. Po zidentyfikowaniu maszyn, odizoluj zainfekowane maszyny od sieci.
  3. Pobierz i zastosuj łatki, które usuwają luki, które wykorzystuje TrickBot.
  4. Wyłącz udziały administracyjne.
  5. Zmień wszystkie hasła administratora lokalnego i domeny.
  6. Chroń się przed infekcją TrickBotiem używając programu do cyberbezpieczeństwa z wielowarstwową ochroną. Produkty Malwarebytes biznesowe i premium dla konsumentów wykrywają i blokują TrickBota w czasie rzeczywistym.

Jak mogę usunąć TrickBota?

TrickBot nie jest doskonały, a (jak widzimy) jego twórcy czasami bywają niechlujni. Co ważne, można go usunąć. Rozwiązania biznesowe Malwarebytes mogą ułatwić ciężką pracę, poprzez izolację zainfekowanych systemów, ich naprawę i ochronę przed przyszłymi infekcjami TrickBota i innych złośliwych programów.