Trickbot

TrickBot - это банковский троянец, который может похищать финансовые данные, учетные записи и персональную информацию (PII), а также распространяться в сети и создавать программы-вымогатели, в частности Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Что такое вредоносное ПО TrickBot?

TrickBot (или «TrickLoader») — это известный банковский троян, который нацелен на компании и потребителей, чтобы украсть их данные, такие как банковская информация, учетные данные, персонально идентифицируемая информация (PII), и даже биткойны. Как высоко модульное вредоносное ПО, оно может адаптироваться к любой среде или сети, в которой оказывается.

Многочисленные трюки, на которые пошел этот троянец с момента своего обнаружения в 2016 году, объясняются креативностью и ловкостью его разработчиков. Помимо воровства, TrickBot получил возможность перемещаться по сети и закрепляться в ней с помощью эксплойтов, распространять свои копии через общие ресурсы Server Message Block (SMB), подбрасывать другие вредоносные программы, например Ryuk ransomware, и искать документы и медиафайлы на зараженных хост-машинах.

Как TrickBot распространяется?

Как и Emotet, TrickBot попадает на пораженные системы в виде встроенных URL-адресов или зараженных вложений в кампаниях вредоносного спама(malspam).

После выполнения TrickBot распространяется по сети, эксплуатируя уязвимость SMB с помощью одного из трех широко известных эксплойтов АНБ: EternalBlue, EternalRomance или EternalChampion.

Emotet также может распространять TrickBot как часть вторичной инфекции.

Какова история TrickBot?

TrickBot начинал как криптоимитатор банковских данных, но ничего в нем не было простого — даже с самого начала.

Когда исследователи Malwarebytes впервые обнаружили TrickBot в 2016 году, он уже обладал характеристиками, которые обычно не встречаются в «простых» ворах учетных данных. Изначально он был нацелен на финансовые услуги и пользователей для кражи банковских данных. Кроме того, он загружает другие вредоносные программы.

TrickBot имеет репутацию преемника Dyreza, другого криптоимитатора, впервые появившегося в 2014 году. TrickBot имел сходства с Dyreza, такие как определенные переменные со схожими значениями и способ настройки серверами командования и управления (C&C), с которыми TrickBot связывается. Это привело к тому, что многие исследователи полагают, что TrickBot был разработан теми же людьми, которые создали Dyreza.

В 2017 году разработчики включили в TrickBot модуль червя, который, по нашему мнению, был вдохновлен успешными кампаниями по распространению вымогательского ПО с червеподобными возможностями, такими как WannaCry и EternalPetya. Разработчики также добавили модуль для сбора учетных данных Outlook. Почему именно Outlook? Сотни организаций и миллионы людей по всему миру обычно пользуются этой почтовой службой. Расширился и спектр похищаемых TrickBot данных: куки, история просмотров, посещенные URL, Flash LSO (Local Shared Objects) и многое другое.

Хотя эти модули были новыми на тот момент, их кодировка была не самой лучшей.

В 2018 году TrickBot продолжал эксплуатировать уязвимость SMB. Он также получил модуль, который отключает мониторинг в реальном времени Windows Defender с помощью команды PowerShell. Хотя он также обновил свой алгоритм шифрования, функция остальных модулей осталась прежней. Разработчики также начали защищать свой код от анализа исследователями по безопасности, добавив элементы обфускации.

В конце года TrickBot был признан самой большой угрозой для бизнеса, опередив Emotet.

Разработчики TrickBot внесли изменения в троян в 2019 году. В частности, они изменили способ работы функции webinject против американских мобильных операторов Sprint, Verizon Wireless и T-Mobile.

Недавно исследователи заметили усовершенствование метода уклонения этого троянца . Модуль Mworm, отвечающий за распространение копии самого себя, был заменен новым модулем под названием Nworm. Этот новый модуль изменяет HTTP-трафик TrickBot, позволяя ему запускаться из памяти после заражения контроллера домена. Благодаря этому TrickBot не оставляет следов заражения на пораженных машинах.

На кого нацелен TrickBot?

Сначала любые пользователи могли стать целью TrickBot. Но в последние годы его цели, похоже, стали более специфическими, такими как пользователи Outlook или T-Mobile. Иногда TrickBot маскируется под налоговую спам-кампанию во время сезона подачи налоговых деклараций.

В 2019 году исследователи из DeepInstinct обнаружили репозиторий с электронными адресами и/или учетными данными аськи миллионов пользователей. Они принадлежат пользователям Gmail, Hotmail, Yahoo, AOL и MSN.

Как я могу защититься от TrickBot?

Изучение того, как работает TrickBot, — это первый шаг к тому, чтобы узнать, как организации и пользователи могут защититься от него. Вот что еще стоит учитывать:

  1. Ищите возможные индикаторы компрометации (IOC), используя инструменты, специально разработанные для этого, такие как Farbar Recovery Scan Tool (FRST). Это поможет определить зараженные машины в сети.
  2. Как только машины будут идентифицированы, изолируйте зараженные устройства от сети.
  3. Скачайте и примените патчи, устраняющие уязвимости, которые использует TrickBot.
  4. Отключите административные общие ресурсы.
  5. Измените все локальные и доменные пароли администратора.
  6. Защитите себя от инфекции TrickBot с помощью программы кибербезопасности, имеющей многоуровневую защиту. Продукты Malwarebytes для бизнеса и для частных потребителей в режиме реального времени обнаруживают и блокируют TrickBot.

Как удалить TrickBot?

TrickBot не идеален, и (как мы видели) разработчики могут допускать ошибки. Главное, его можно удалить. Бизнес-решения Malwarebytes могут облегчить некоторые трудности, изолируя затронутые системы, устраняя их и защищая от будущих инфекций TrickBot и других вредоносных программ.