Trojan.TrickBot

Trojan.TrickBot, en banktrojan, ser ud til at være en efterfølger af Dyre, en velkendt banktrojan, der allerede var ansvarlig for mange angreb rundt om i verden. Der er bestemt en forbindelse mellem begge trojanske heste. Disse trusler udvikler sig konstant og får nye funktioner, når de forsvarer sig mod nye sikkerhedsforanstaltninger implementeret af pc-sikkerhedsforskere. Dyre , også kendt som Dyreza, ser ud til at have udviklet sig til Trojan.TrickBot, en nyere banktrojan.

Denne uge i Malware, afsnit 20, del 2: Bazar-malware knyttet til Trickbot Banking Trojan-kampagner for at stjæle personlige data

Trojan.TrickBot dukkede op for første gang i oktober 2016, og dengang angreb den kun banker i Australien. Fra april 2017 er der også rapporteret om angreb på førende banker i Storbritannien, USA, Schweiz, Tyskland, Canada, New Zealand, Frankrig og Irland. Andre navne, som denne trojan er kendt under, inkluderer TheTrick, Trickster, TrickLoader, Trojan.TrickBot.e osv. En af de nyere versioner af malware er blevet opdateret til at målrette mod cryptowallets efter kryptomining blev populær i slutningen af 2017. Også i 2017 blev forfattere af banktrojanen tilføjede en selvspredende komponent til sin kode, der gjorde malware i stand til selvforplantning. Målet var åbenbart at inficere så mange computere som muligt og endda hele netværk med Trojan.TrickBot. I 2018 optrådte Trojan.TrickBot igen med en endnu bredere vifte af muligheder.

TrickBot kan lide at samarbejde med andre malware-trusler

I januar 2019 opdagede forskere en aktiv kampagne med Ryuk ransomware , hvor målrettede ofre tidligere blev angrebet af Emotet og TrickBot. Der er beviser for, at cyberkriminelle først leverede Emotet via spam-e-mails og forskellige socialtekniske teknikker. I denne ordning blev en computer inficeret med Emotet brugt til at distribuere TrickBot, som igen stjal følsomme oplysninger fra det, der hjalp angriberne med at finde ud af, om offeret er et passende mål i branchen. I så fald vil de implementere Ryuk ransomware på virksomhedens netværk. Tidligere samarbejdede TrickBot i maj 2018 også med en anden banktrojan- IcedID.

Når man arbejder alene spredes TrickBot typisk over beskadigede vedhæftede filer, forklædt som et Microsoft Office-dokument med aktiverede makroer. Når filen åbnes, udfører de ondsindede scripts og downloader skjult malware. TrickBot nyeste versioner fra begyndelsen af 2019 leveres gennem sæsonmæssige spam-e-mails, der foregiver at komme fra et stort finansielt konsulentfirma. E-mails lokker brugere med skatterelateret indhold og lover hjælp til visse amerikanske skatteproblemer. Når det først er åbnet, slipper Microsoft Excel-regnearket til e-mailen TrickBot på brugerens computer.

En kort analyse af Trojan.TrickBots forgænger, Dyre Trojan

Dyre Trojan , der er forbundet med et omfattende botnet bestående af hundreder af tusinder af inficerede computere, angreb titusinder af computere over hele verden i november 2015. Mere end tusind banker og finansielle institutioner er muligvis blevet kompromitteret af Dyre. Denne trussels aktiviteter stoppede i november 2015, hvilket faldt sammen med plyndringen af kontorer for en russisk virksomhed, der var en del af den kunstnergruppe, der var ansvarlig for Dyre. Desværre ser det ud til, at nogen, der var involveret i udviklingen af Dyre i 2015, nu kan deltage i udviklingen af Trojan.TrickBot.

Overvågning af udviklingen af Trojan.TrickBot

Trojan.TrickBot blev først opdaget i september 2016 i en trusselkampagne rettet mod computerbrugere i Australien. Nogle af de australske finansielle institutioner, der blev berørt, inkluderer NAB, St. George, Westpac og ANZ. De oprindelige Trojan.TrickBot-angreb involverede et samlermodul. Nyere prøver af Trojan.TrickBot inkluderer også webinjekter i deres angreb og ser ud til stadig at være i test.

Der er flere grunde til, at pc-sikkerhedsanalytikere har mistanke om, at der er en stærk forbindelse mellem Trojan.TrickBot og Dyre. Den læsser, der er involveret i de fleste angreb, er meget ens. Når du afkoder truslerne, bliver lighederne meget tydelige. Dette betyder, at mange af de svindlere, der var ansvarlige for udviklingen og implementeringen af Dyre, ser ud til at være blevet aktive igen, undslippe arrestationen og genoptage aktiviteterne et år efter Dyre-angrebene. Trojan.TrickBot ser ud til at være en omskrevet version af Dyre, der holder mange af de samme funktioner, men skrevet på en anden måde. Sammenlignet med Dyre er der en stor mængde kode i C ++ i implementeringen af Trojan.TrickBot. Trojan.TrickBot drager fordel af Microsofts CryptoAPI snarere end at have indbyggede funktioner til dens tilsvarende krypteringsoperationer. Følgende er forskellene mellem Trojan.TrickBot og Dyre:

• Trojan.TrickBot kører ikke kommandoer direkte, men interagerer i stedet med Task scheduler ved hjælp af COM for at opretholde vedholdenhed på den inficerede computer.
• I stedet for at bruge en indbygget SHA256 hashing-rutine eller en AES-rutine, bruger Trojan.TrickBot Microsoft Crypto API.
• Mens Dyre for det meste blev skrevet ved hjælp af programmeringssprog C, bruger Trojan.TrickBot en større del af C ++ til sin kode.
• Ud over at angribe store internationale banker kan Trojan.TrickBot også stjæle fra Bitcoin-tegnebøger.
• TrojanTrickBot har evnen til at høste e-mails og loginoplysninger gennem Mimikatz-værktøjet.
• Nye funktioner tilføjes også konstant til Trojan.TrickBot.

Disse forskelle synes imidlertid at indikere, at der er et klart forhold mellem Dyre og Trojan.TrickBot, men at Trojan.TrickBot faktisk repræsenterer et mere avanceret udviklingsstadium af den tidligere trussel. Trojan.TrickBot indlæses ved hjælp af trussel-loader 'TrickLoader', som har været forbundet med adskillige andre trusler, herunder Pushdo , Cutwail og Vawtrak . Især Cutwail har også været forbundet med Dyre-truslen, hvilket gør det sandsynligt, at de kunstnere, der er ansvarlige for Trojan.TrickBot forsøger at genopbygge de enorme kapaciteter, som de havde med deres tidligere angreb.

Operationelle detaljer

Trojan.TrickBot er en alvorlig trussel mod privatlivets fred, da dets primære formål er at stjæle brugerloginoplysninger til onlinebankwebsteder, Paypal-konti, kryptovaluta-tegnebøger og andre finansielle og personlige konti. Malwaren bruger to teknikker til at narre sine ofre til at levere dataene. Den første teknik kaldes statisk injektion, og den består i at erstatte login-siden på det legitime bankwebsted med en falsk, der kopierer den nøjagtigt. Den anden metode kaldes dynamisk injektion, og det indebærer kapring af offerets browser og omdirigering til en server, der kontrolleres af operatørerne af malware hver gang brugeren indtaster en URL, der tilhører et målrettet bankwebsite. I begge tilfælde fanges de logindata, der er indtastet af brugeren, og sendes til henholdsvis Trojan.TrickBot-operatørerne og kan misbruges til at begå økonomisk svindel.

Trojan.TrickBot leveres i flere forskellige moduler og en konfigurationsfil. Hvert af modulerne udfører en bestemt opgave, som f.eks. At sikre malware-formering og vedholdenhed, stjæle legitimationsoplysninger og så videre. For at undgå afsløring injiceres de ondsindede moduler i legitime processer, herunder svchost. TrickBot forsøger også at deaktivere og slette Windows Defender som en anden foranstaltning for at reducere chancen for at blive opdaget.

Trojan.TrickBots installationsmappe er placeret i C: \ user \ AppData \ Roaming \% Name%, hvorved "% Name%" afhænger af den bestemte version af malware. Der er også en kopi af TrickBot med et lidt andet navn i den samme mappe samt en settings.ini-fil og en datamappe. TrickBot sikrer dets vedholdenhed ved at oprette en planlagt opgave og en tjeneste. Navnet på opgaven afhænger af malware-varianten, den kan f.eks. Have navnet "NetvalTask". Registreringsposten genereres tilfældigt og placeres under servicekuben, for eksempel \ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath. Operatørerne af Trojan.TrickBot opretter Command & Control-servere, som malware kommunikerer med på hackede trådløse routere.

Nyere versioner af TrickBot kommer med forbedrede funktioner

I november 2018 ramte opdaterede versioner af Trojan.TrickBot malware-markedet og demonstrerede mere avancerede funktioner. Blandt disse er den skærmlåsningsfunktionalitet, der er observeret i nogle versioner af malware, der vises i flere måneder før november 2018. Nogle forskere mente på det tidspunkt, at malwareforfatterne gennem denne nye komponent sigtede mod at holde ofrene for løsesum, hvis trojanske var ude af stand til at exfiltrere nogen bankoplysninger fra den inficerede computer. Forbedrede muligheder for at undgå afsløring er også tilføjet omkring november 2018. Alligevel blev der tilføjet en endnu mere farlig funktion til Trojan.TrickBot-arsenal på det tidspunkt gennem et nyt adgangskodegribende modul kaldet "pwgrab" - malware var ikke længere interesseret i kun besøgt af brugerwebstederne, men det var også i stand til at kapre populære applikationer og stjæle gemte adgangskoder derfra. Bortset fra det begyndte TrickBot også at høste browsing- og systemdata, som cookies, søgeudtryk, historie, CPU-oplysninger, kørende processer og så videre. Desuden fik Trojan muligheden for at opdatere sig selv, når den først var installeret på en maskine, hvilket betyder, at en inficeret computer altid vil have den nyeste version af TrickBot, uanset hvornår den første infektion fandt sted.

Endnu en ny version af Trojan.TrickBot blev opdaget af Trend Micro-forskere i januar 2019. Denne nye variant tilføjede tre nye muligheder til TrickBots adgangskodestjælingsmodul, designet til at målrette mod Virtual Network Computing (VNC), PuTTY og Remote Desktop Protocol (RDP) platforme. TrickBots pwgrab-modul fanger VNC-legitimationsoplysninger ved at lede efter filer, der indeholder ".vnc.lnk" i deres navne inden for "% APPDATA% \ Microsoft \ Windows \ Recent", "% USERPROFILE% \ Documents" og "% USERPROFIL% \" Downloads "mapper. For at få fat i PuTTY- og RDP-legitimationsoplysninger ser TrickBot i registreringsdatabasenøglen Software \ SimonTatham \ Putty \ Sessions og bruger "CredEnumerateA API" til at identificere og stjæle gemte adgangskoder. For at identificere det brugernavn, værtsnavn og adgangskode, der er gemt pr.RDP-legitimationsoplysninger, analyserer malware strengen "target = TERMSRV." TrickBot downloader en konfigurationsfil med navnet "dpost" fra operatørernes Command & Control-server og bruger en POST-kommando, der er konfigureret til at exfiltrere VNC-, PuTTY- og RDP-legitimationsoplysninger, der er indsamlet fra de inficerede enheder.

I januar 2019 opdagede forskere også, at TrickBot også fungerer som Access-as-a-Service for andre aktører - når den først inficerer en maskine, omdanner den den til en bot og skaber omvendte skaller, så andre malware-operatører får adgang til det inficerede netværk og slip deres egne ondsindede nyttelast.

Forebyggelse af Trojan.TrickBot-angreb

Den bedste måde at forhindre Trojan.TrickBot-angreb på er at sikre, at din computer er beskyttet med et pålideligt, fuldt opdateret anti-malware-program. Internetbankadgangskoder skal være stærke, og der skal implementeres en totrinsgodkendelse. Vær forsigtig, når du håndterer dine online bankkonti, undgår disse handlinger på ukendte computere og scanner din computer regelmæssigt for trusler med en opdateret sikkerhedsapplikation.

SpyHunter registrerer og fjerner Trojan.TrickBot