Trojan.TrickBot

Банковский троян Trojan.TrickBot, похоже, является преемником известного банковского трояна Dyre, который уже был ответственен за многочисленные атаки по всему миру. Связь между обоими троянами, безусловно, существует. Эти угрозы постоянно развиваются, приобретая новые функции, поскольку они защищают от новых мер безопасности, применяемых исследователями безопасности ПК. Dyre , также известный как Dyreza, похоже, превратился в Trojan.TrickBot, новый банковский троян.

На этой неделе в вредоносном ПО. Эпизод 20, часть 2: Вредоносное ПО Bazar связано с кампаниями троянских программ Trickbot Banking с целью кражи личных данных

Trojan.TrickBot впервые появился в октябре 2016 года и тогда атаковал только банки в Австралии. С апреля 2017 года также стали поступать сообщения об атаках на ведущие банки Великобритании, США, Швейцарии, Германии, Канады, Новой Зеландии, Франции и Ирландии. Другие имена, под которыми известен этот троянец, включают TheTrick, Trickster, TrickLoader, Trojan.TrickBot.e и т. Д. Одна из новых версий вредоносного ПО была обновлена для работы с криптовалютными кошельками после того, как криптомайнинг стал популярным в конце 2017 года. Авторы банковского трояна добавили в его код самораспространяющийся компонент, благодаря которому вредоносная программа стала способной к самораспространению. Очевидно, цель заключалась в том, чтобы заразить Trojan.TrickBot как можно больше компьютеров и даже целые сети. В 2018 году снова появился Trojan.TrickBot с еще более широким спектром возможностей.

TrickBot любит взаимодействовать с другими вредоносными программами

В январе 2019 года исследователи обнаружили активную кампанию вымогателей Ryuk, в которой целевые жертвы ранее подвергались атакам со стороны Emotet и TrickBot. Есть свидетельства того, что киберпреступники сначала доставляли Emotet через спам-сообщения и различные методы социальной инженерии. В этой схеме компьютер, зараженный Emotet, использовался для распространения TrickBot, который, в свою очередь, украл конфиденциальную информацию, которая помогла злоумышленникам выяснить, является ли жертва подходящей целью для отрасли. Если да, то они развернут вымогатель Ryuk в сети компании. Ранее, в мае 2018 года, TrickBot также сотрудничал с другим банковским троянцем - IcedID.

При самостоятельной работе TrickBot обычно распространяется по поврежденным вложениям электронной почты, замаскированным под документ Microsoft Office с включенными макросами. При открытии файла вредоносные сценарии запускаются и незаметно загружают вредоносное ПО. Последние версии TrickBot с начала 2019 года рассылаются по сезонной тематике спама, якобы исходящей от крупной финансовой консалтинговой компании. Электронные письма манят пользователей контентом, связанным с налогами, обещая помощь в некоторых налоговых вопросах США. Однако после открытия электронная таблица Microsoft Excel, прикрепленная к электронному письму, перетаскивает TrickBot на компьютер пользователя.

Краткий анализ предшественника Trojan.TrickBot, трояна Dyre

Троян Dyre , связанный с обширным ботнетом, состоящим из сотен тысяч зараженных компьютеров, атаковал десятки тысяч компьютеров по всему миру в ноябре 2015 года. Более тысячи банков и финансовых учреждений могли быть скомпрометированы Dyre. Действия этой угрозы прекратились в ноябре 2015 года, что совпало с рейдом в офисах российского бизнеса, входившего в группу аферистов, ответственных за Дайра. К сожалению, похоже, что кто-то, кто участвовал в разработке Dyre в 2015 году, теперь может участвовать в разработке Trojan.TrickBot.

Мониторинг развития Trojan.TrickBot

Trojan.TrickBot был впервые обнаружен в сентябре 2016 года в ходе кампании угроз, нацеленной на пользователей компьютеров в Австралии. К числу пострадавших австралийских финансовых учреждений относятся NAB, St. George, Westpac и ANZ. В первоначальных атаках Trojan.TrickBot задействован один модуль-сборщик. Новые образцы Trojan.TrickBot также включают в себя веб-инъекции и, похоже, все еще проходят тестирование.

Аналитики по безопасности ПК подозревают наличие прочной связи между Trojan.TrickBot и Dyre по нескольким причинам. Загрузчик, участвующий в большинстве атак, очень похож. Как только вы расшифровываете угрозы, сходство становится очень очевидным. Это означает, что многие мошенники, ответственные за разработку и внедрение Dyre, похоже, снова стали активными, избежав ареста и возобновив свою деятельность через год после атак Dyre. Trojan.TrickBot, похоже, представляет собой переписанную версию Dyre, сохраняющую многие из тех же функций, но написанную другим способом. По сравнению с Dyre в реализации Trojan.TrickBot гораздо больше кода на C ++. Trojan.TrickBot использует CryptoAPI от Microsoft вместо того, чтобы иметь встроенные функции для соответствующих операций шифрования. Ниже приведены различия между Trojan.TrickBot и Dyre:

• Trojan.TrickBot не запускает команды напрямую, а вместо этого взаимодействует с планировщиком задач с помощью COM, чтобы поддерживать постоянство на зараженном компьютере.
• Вместо использования встроенной процедуры хеширования SHA256 или процедуры AES Trojan.TrickBot использует Microsoft Crypto API.
• В то время как Dyre был написан в основном на языке программирования C, Trojan.TrickBot использует для своего кода большую часть C ++.
• Помимо атак на крупные международные банки, Trojan.TrickBot также может похищать биткойн-кошельки.
• TrojanTrickBot может собирать электронные письма и учетные данные с помощью инструмента Mimikatz.
• В Trojan.TrickBot также постоянно добавляются новые функции.

Эти различия, однако, указывают на то, что существует четкая связь между Dyre и Trojan.TrickBot, но что Trojan.TrickBot на самом деле представляет собой более продвинутую стадию развития более ранней угрозы. Trojan.TrickBot загружается с помощью загрузчика угроз TrickLoader, который был связан с несколькими другими угрозами, включая Pushdo , Cutwail и Vawtrak . Cutwail, в частности, также был связан с угрозой Dyre, что делает вероятным, что мошенники, ответственные за Trojan.TrickBot, пытаются восстановить огромные возможности, которыми они пользовались в своей предыдущей атаке.

Операционные детали

Trojan.TrickBot представляет собой серьезную угрозу для конфиденциальности пользователей, поскольку его основная цель - украсть учетные данные пользователя для веб-сайтов онлайн-банкинга, учетных записей Paypal, кошельков с криптовалютой и других финансовых и личных учетных записей. Вредоносная программа использует два метода, чтобы обманом заставить жертв предоставить данные. Первый метод называется статической инъекцией и заключается в замене страницы входа на законном банковском веб-сайте поддельной, которая точно ее копирует. Второй метод называется динамической инъекцией и включает в себя захват браузера жертвы и перенаправление его на сервер, контролируемый операторами вредоносной программы, каждый раз, когда пользователь вводит URL-адрес, принадлежащий целевому веб-сайту банка. В любом случае введенные пользователем данные для входа в систему фиксируются и отправляются операторам Trojan.TrickBot и, соответственно, могут быть использованы для совершения финансового мошенничества.

Trojan.TrickBot поставляется в виде нескольких различных модулей и конфигурационного файла. Каждый из модулей выполняет определенную задачу, например, обеспечивает распространение и устойчивость вредоносного ПО, кражу учетных данных и т. Д. Чтобы избежать обнаружения, вредоносные модули внедряются в легитимные процессы, включая svchost. Кроме того, TrickBot пытается отключить и удалить Защитник Windows в качестве еще одной меры для снижения вероятности обнаружения.

Папка установки Trojan.TrickBot находится в C: \ user \ AppData \ Roaming \% Name%, при этом "% Name%" зависит от конкретной версии вредоносной программы. В той же папке есть копия TrickBot с немного другим именем, а также файл settings.ini и папка Data. TrickBot обеспечивает его постоянство, создавая запланированную задачу и службу. Название задачи зависит от варианта вредоносной программы, например, она может называться NetvalTask. Запись реестра создается случайным образом и находится в кусте службы, например \ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath. Операторы Trojan.TrickBot настраивают серверы Command & Control, с которыми вредоносная программа взаимодействует на взломанных беспроводных маршрутизаторах.

Новые версии TrickBot поставляются с расширенными функциями

В ноябре 2018 года на рынок вредоносных программ вышли обновленные версии Trojan.TrickBot, демонстрирующие более продвинутые функции. Среди них функция блокировки экрана, наблюдаемая в некоторых версиях вредоносной программы, появившейся в течение нескольких месяцев до ноября 2018 года. Некоторые исследователи в то время полагали, что с помощью этого нового компонента авторы вредоносной программы стремились удерживать жертв для выкупа, если троян был невозможно извлечь какие-либо банковские учетные данные с зараженного компьютера. В ноябре 2018 года также были добавлены улучшенные возможности по предотвращению обнаружения. Тем не менее, в то время в арсенал Trojan.TrickBot была добавлена еще более опасная функция через новый модуль сбора паролей под названием «pwgrab» - вредоносная программа больше не интересовалась посещались только веб-сайтами пользователей, но он также мог захватить популярные приложения и украсть оттуда сохраненные пароли. Помимо этого, TrickBot также начал собирать данные о браузерах и системе, такие как файлы cookie, условия поиска, историю, информацию о процессоре, запущенные процессы и т. Д. Более того, троянец получил возможность обновляться после установки на машину, а это означает, что на зараженном компьютере всегда будет установлена последняя версия TrickBot, независимо от того, когда произошло первоначальное заражение.

Еще одна новая версия Trojan.TrickBot была обнаружена исследователями Trend Micro в январе 2019 года. Этот новый вариант добавил три новые возможности в модуль кражи паролей TrickBot, предназначенный для виртуальных сетевых вычислений (VNC), PuTTY и протокола удаленного рабочего стола. (RDP) платформы. Модуль pwgrab TrickBot захватывает учетные данные VNC, ища файлы, содержащие ".vnc.lnk" в своих именах в "% APPDATA% \ Microsoft \ Windows \ Recent", "% USERPROFILE% \ Documents" и "% USERPROFILE% \" "Загрузки". Для получения учетных данных PuTTY и RDP TrickBot просматривает раздел реестра Software \ SimonTatham \ Putty \ Sessions и использует «API CredEnumerateA» для идентификации и кражи сохраненных паролей. Затем, чтобы определить имя пользователя, имя хоста и пароль, сохраненные для учетных данных RDP, вредоносная программа анализирует строку «target = TERMSRV». TrickBot загружает файл конфигурации с именем «dpost» с сервера управления и контроля операторов и использует команду POST, настроенную для эксфильтрации учетных данных VNC, PuTTY и RDP, собранных с зараженных устройств.

В январе 2019 года исследователи также обнаружили, что TrickBot также действует как Access-as-a-Service для других участников - как только он заражает машину, он превращает ее в бота и создает обратные оболочки, позволяя таким образом другим операторам вредоносных программ получить доступ к зараженной сети. и сбросить свои вредоносные полезные нагрузки.

Предотвращение атак Trojan.TrickBot

Лучший способ предотвратить атаки Trojan.TrickBot - это убедиться, что ваш компьютер защищен надежной, полностью обновленной программой защиты от вредоносных программ. Пароли онлайн-банкинга должны быть надежными, и должна быть реализована двухэтапная аутентификация. Соблюдайте осторожность при работе со своими счетами в онлайн-банке, избегайте этих операций на неизвестных компьютерах и регулярно проверяйте свой компьютер на наличие угроз с помощью обновленного приложения безопасности.

SpyHunter обнаруживает и удаляет Trojan.TrickBot