Что представляет собой вредоносная программа TrickBot?
TrickBot (или "TrickLoader") - это признанный банковский троянец, который охотится за данными как предприятий, так и потребителей: банковской информацией, учетными данными, персональными данными (PII) и даже биткоинами. Будучи высокомодульной вредоносной программой, он может адаптироваться к любой среде или сети, в которой окажется.
Многочисленные трюки, на которые пошел этот троянец с момента своего обнаружения в 2016 году, объясняются креативностью и ловкостью его разработчиков. Помимо воровства, TrickBot получил возможность перемещаться по сети и закрепляться в ней с помощью эксплойтов, распространять свои копии через общие ресурсы Server Message Block (SMB), подбрасывать другие вредоносные программы, например Ryuk ransomware, и искать документы и медиафайлы на зараженных хост-машинах.
Как распространяется TrickBot?
Как и Emotet, TrickBot попадает на пораженные системы в виде встроенных URL-адресов или зараженных вложений в кампаниях вредоносного спама(malspam).
После выполнения TrickBot распространяется по сети, эксплуатируя уязвимость SMB с помощью одного из трех широко известных эксплойтов АНБ: EternalBlue, EternalRomance или EternalChampion.
Emotet также может распространять TrickBot как часть вторичной инфекции.
Какова история создания TrickBot?
TrickBot начал свою работу как похититель банковской информации, но все не так просто - даже с самого начала.
Когда исследователи Malwarebytes впервые обнаружили TrickBot в 2016 году, он уже мог похвастаться атрибутами, которые обычно не встречаются у "простых" похитителей учетных данных. Изначально его целью были финансовые сервисы и пользователи, желающие получить банковские данные. Он также распространяет другие вредоносные программы.
TrickBot имеет репутацию преемника Dyreza, другого похитителя учетных данных, который впервые появился в природе в 2014 году. У TrickBot были общие черты с Dyreza, например, некоторые переменные с похожими значениями и способ, которым создатели TrickBot настраивали командно-контрольные (C&C) серверы, с которыми взаимодействовал TrickBot. Это навело многих исследователей на мысль, что человек или группа, создавшие Dyreza, создали и TrickBot.
В 2017 году разработчики включили в TrickBot модуль червя, который, по нашему мнению, был вдохновлен успешными кампаниями по распространению вымогательского ПО с червеподобными возможностями, такими как WannaCry и EternalPetya. Разработчики также добавили модуль для сбора учетных данных Outlook. Почему именно Outlook? Сотни организаций и миллионы людей по всему миру обычно пользуются этой почтовой службой. Расширился и спектр похищаемых TrickBot данных: куки, история просмотров, посещенные URL, Flash LSO (Local Shared Objects) и многое другое.
Хотя в то время эти модули были новыми, они не были хорошо прописаны.
В 2018 году TrickBot продолжил эксплуатировать уязвимость SMB. Он также был оснащен модулем, отключающим мониторинг Windows Defender в режиме реального времени с помощью команды PowerShell. Хотя он также обновил алгоритм шифрования, остальные функции модуля остались прежними. Разработчики TrickBot также начали защищать свой код от разбора исследователями безопасности, внедряя элементы обфускации.
В конце года TrickBot был признан главной угрозой для предприятий, обогнав Emotet.
В 2019 году разработчики TrickBot снова внесли некоторые изменения в троянскую программу. В частности, они изменили способ работы функции webinject против американских операторов мобильной связи Sprint, Verizon Wireless и T-Mobile.
Недавно исследователи заметили усовершенствование метода уклонения этого троянца . Модуль Mworm, отвечающий за распространение копии самого себя, был заменен новым модулем под названием Nworm. Этот новый модуль изменяет HTTP-трафик TrickBot, позволяя ему запускаться из памяти после заражения контроллера домена. Благодаря этому TrickBot не оставляет следов заражения на пораженных машинах.
На кого нацелен Trickbot?
Сначала казалось, что целью TrickBot может быть кто угодно. Но в последние годы его цели стали более конкретными - например, пользователи Outlook или T-Mobile. Иногда TrickBot маскируется под спам на налоговую тематику во время налогового сезона.
В 2019 году исследователи из DeepInstinct обнаружили хранилище собранных адресов электронной почты и/или учетных данных мессенджеров миллионов пользователей. Они принадлежат пользователям Gmail, Hotmail, Yahoo, AOL и MSN.
Как защитить себя от TrickBot?
Изучение принципов работы TrickBot - первый шаг к тому, чтобы понять, как организации и потребители могут защитить себя от него. Вот некоторые другие моменты, на которые следует обратить внимание:
- Ищите возможные индикаторы компрометации (IOC), запуская специально разработанные для этого инструменты, например Farbar Recovery Scan Tool (FRST). Это позволит выявить зараженные машины в сети.
- Как только машины будут обнаружены, изолируйте зараженные машины от сети.
- Загрузите и примените исправления, устраняющие уязвимости, которые использует TrickBot.
- Отключите административные ресурсы.
- Измените все пароли локальных и доменных администраторов.
- Защитите себя от заражения TrickBot с помощью программы кибербезопасности с многоуровневой защитой. Malwarebytes продукты длябизнеса и потребительские продукты премиум-класса обнаруживают и блокируют TrickBot в режиме реального времени.
Как удалить TrickBot?
TrickBot не идеален, и (как мы уже видели) разработчики иногда бывают неаккуратны. Важно, что его можно удалить. Malwarebytes бизнес-решения могут облегчить эту тяжелую работу, изолировав пострадавшие системы, устранив последствия и защитив их от будущих заражений TrickBot и другими неприятными штаммами вредоносных программ.