Trickbot

TrickBot - это банковский троянец, который может похищать финансовые данные, учетные записи и персональную информацию (PII), а также распространяться в сети и создавать программы-вымогатели, в частности Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Что такое вредоносное ПО TrickBot?

TrickBot (или «TrickLoader») — это известный банковский троян, который нацелен на компании и потребителей, чтобы украсть их данные, такие как банковская информация, учетные данные, персонально идентифицируемая информация (PII), и даже биткойны. Как высоко модульное вредоносное ПО, оно может адаптироваться к любой среде или сети, в которой оказывается.

Множество уловок, которые этот троян совершал с момента его обнаружения в 2016 году, объясняется креативностью и гибкостью его разработчиков. Помимо кражи данных, TrickBot получил возможности перемещаться по сети и закрепляться в сети благодаря эксплойтам, распространять свои копии через общие ресурсы SMB, загружать другие вредоносные программы, такие как Ryuk ransomware, и искать документы и медиафайлы на зараженных хостах.

Как TrickBot распространяется?

Как и Emotet, TrickBot попадает на зараженные системы в виде либо встроенных URL-адресов, либо зараженных вложений в кампаниях вредоносного спама (malspam).

После выполнения TrickBot распространяется по сети, эксплуатируя уязвимость SMB с помощью одного из трех известных эксплойтов АНБ: EternalBlue, EternalRomance, или EternalChampion.

Emotet также может распространять TrickBot как вторичную инфекцию.

Какова история TrickBot?

TrickBot начинал как криптоимитатор банковских данных, но ничего в нем не было простого — даже с самого начала.

Когда исследователи Malwarebytes впервые обнаружили TrickBot в 2016 году, он уже обладал характеристиками, которые обычно не встречаются в «простых» ворах учетных данных. Изначально он был нацелен на финансовые услуги и пользователей для кражи банковских данных. Кроме того, он загружает другие вредоносные программы.

TrickBot имеет репутацию преемника Dyreza, другого криптоимитатора, впервые появившегося в 2014 году. TrickBot имел сходства с Dyreza, такие как определенные переменные со схожими значениями и способ настройки серверами командования и управления (C&C), с которыми TrickBot связывается. Это привело к тому, что многие исследователи полагают, что TrickBot был разработан теми же людьми, которые создали Dyreza.

В 2017 году разработчики добавили в TrickBot модуль червя, что, по нашему мнению, было вдохновлено успешными кампаниями программ-вымогателей с множеством функций червя, такими как WannaCry и EternalPetya. Разработчики добавили также модуль для сбора учетных данных Outlook. Почему Outlook? Потому что сотни организаций и миллионы людей по всему миру используют этот веб-сервис. Объем данных, которые TrickBot крадет, также значительно расширился: куки, история просмотров, посещенные URL, Flash LSO и многое другое.

Хотя эти модули были новыми на тот момент, их кодировка была не самой лучшей.

В 2018 году TrickBot продолжал эксплуатировать уязвимость SMB. Он также получил модуль, который отключает мониторинг в реальном времени Windows Defender с помощью команды PowerShell. Хотя он также обновил свой алгоритм шифрования, функция остальных модулей осталась прежней. Разработчики также начали защищать свой код от анализа исследователями по безопасности, добавив элементы обфускации.

В конце года TrickBot был признан самой большой угрозой для бизнеса, опередив Emotet.

Разработчики TrickBot внесли изменения в троян в 2019 году. В частности, они изменили способ работы функции webinject против американских мобильных операторов Sprint, Verizon Wireless и T-Mobile.

Недавно исследователи заметили улучшение в методах уклонения этого трояна. Mworm, модуль, ответственный за самораспространение, был заменен новым модулем под названием Nworm. Этот новый модуль изменяет HTTP-трафик TrickBot, позволяя ему работать из памяти после инфицирования контроллера домена. Это обеспечивает отсутствие следов инфицирования на зараженных машинах.

На кого нацелен TrickBot?

Сначала любые пользователи могли стать целью TrickBot. Но в последние годы его цели, похоже, стали более специфическими, такими как пользователи Outlook или T-Mobile. Иногда TrickBot маскируется под налоговую спам-кампанию во время сезона подачи налоговых деклараций.

В 2019 году исследователи из DeepInstinct обнаружили репозиторий с электронными адресами и/или учетными данными аськи миллионов пользователей. Они принадлежат пользователям Gmail, Hotmail, Yahoo, AOL и MSN.

Как я могу защититься от TrickBot?

Изучение того, как работает TrickBot, — это первый шаг к тому, чтобы узнать, как организации и пользователи могут защититься от него. Вот что еще стоит учитывать:

  1. Ищите возможные индикаторы компрометации (IOC), используя инструменты, специально разработанные для этого, такие как Farbar Recovery Scan Tool (FRST). Это поможет определить зараженные машины в сети.
  2. Как только машины будут идентифицированы, изолируйте зараженные устройства от сети.
  3. Скачайте и примените патчи, устраняющие уязвимости, которые использует TrickBot.
  4. Отключите административные общие ресурсы.
  5. Измените все локальные и доменные пароли администратора.
  6. Защитите себя от инфекции TrickBot с помощью программы кибербезопасности, имеющей многоуровневую защиту. Продукты Malwarebytes для бизнеса и для частных потребителей в режиме реального времени обнаруживают и блокируют TrickBot.

Как удалить TrickBot?

TrickBot не идеален, и (как мы видели) разработчики могут допускать ошибки. Главное, его можно удалить. Бизнес-решения Malwarebytes могут облегчить некоторые трудности, изолируя затронутые системы, устраняя их и защищая от будущих инфекций TrickBot и других вредоносных программ.