Trojan.TrickBot

Trojan.TrickBot, ein Bankentrojaner, scheint ein Nachfolger von Dyre zu sein, einem bekannten Bankentrojaner, der bereits für zahlreiche Angriffe auf der ganzen Welt verantwortlich war. Es besteht sicherlich eine Verbindung zwischen beiden Trojanern. Diese Bedrohungen entwickeln sich ständig weiter und erhalten neue Funktionen, da sie sich gegen neue Sicherheitsmaßnahmen verteidigen, die von PC-Sicherheitsforschern implementiert wurden. Dyre , auch bekannt als Dyreza, scheint sich zu Trojan.TrickBot entwickelt zu haben, einem neueren Banking-Trojaner.

Diese Woche in Malware Episode 20 Teil 2: Bazar-Malware im Zusammenhang mit Trickbot-Banking-Trojaner-Kampagnen zum Diebstahl personenbezogener Daten

Trojan.TrickBot erschien im Oktober 2016 zum ersten Mal und griff damals nur Banken in Australien an. Ab April 2017 wurden auch Angriffe gegen führende Banken in Großbritannien, den USA, der Schweiz, Deutschland, Kanada, Neuseeland, Frankreich und Irland gemeldet. Andere Namen, unter denen dieser Trojaner bekannt ist, sind TheTrick, Trickster, TrickLoader, Trojan.TrickBot.e usw. Eine der neueren Versionen der Malware wurde aktualisiert, um auf Cryptowallets abzuzielen, nachdem Cryptomining Ende 2017 populär wurde Die Autoren des Banking-Trojaners haben seinem Code eine sich selbst verbreitende Komponente hinzugefügt, die die Malware zur Selbstverbreitung befähigt. Ziel war es natürlich, möglichst viele Computer und sogar ganze Netzwerke mit Trojan.TrickBot zu infizieren. Im Jahr 2018 erschien Trojan.TrickBot erneut mit einem noch breiteren Spektrum an Funktionen.

TrickBot arbeitet gerne mit anderen Malware-Bedrohungen zusammen

Im Januar 2019 entdeckten Forscher eine aktive Kampagne der Ryuk-Ransomware, bei der gezielte Opfer zuvor von Emotet und TrickBot angegriffen wurden. Es gibt Hinweise darauf, dass Cyberkriminelle Emotet zuerst über Spam-E-Mails und verschiedene Social-Engineering-Techniken bereitgestellt haben. In diesem Schema wurde ein mit Emotet infizierter Computer verwendet, um TrickBot zu verbreiten, der wiederum vertrauliche Informationen stahl, die den Angreifern dabei halfen, herauszufinden, ob das Opfer ein geeignetes Branchenziel ist. In diesem Fall würden sie Ryuk-Ransomware im Unternehmensnetzwerk bereitstellen. Zuvor, im Mai 2018, arbeitete TrickBot auch mit einem anderen Banking-Trojaner zusammen - IcedID.

Wenn TrickBot alleine arbeitet, verteilt es sich normalerweise auf beschädigte E-Mail-Anhänge, die als Microsoft Office-Dokument mit aktivierten Makros getarnt sind. Wenn die Datei geöffnet wird, führen die schädlichen Skripte die Malware aus und laden sie heimlich herunter. Die neuesten TrickBot-Versionen von Anfang 2019 werden über saisonale Spam-E-Mails zugestellt, die vorgeben, von einem großen Finanzberatungsunternehmen zu stammen. Die E-Mails locken Benutzer mit steuerlichen Inhalten an und versprechen Hilfe bei bestimmten Steuerproblemen in den USA. Nach dem Öffnen wird jedoch die an die E-Mail angehängte Microsoft Excel-Tabelle TrickBot auf dem Computer des Benutzers ablegen.

Eine kurze Analyse von Trojan.TrickBots Vorgänger, dem Dyre-Trojaner

Der Dyre-Trojaner , der mit einem umfangreichen Botnetz aus Hunderttausenden infizierter Computer verbunden ist, hat im November 2015 weltweit Zehntausende von Computern angegriffen. Mehr als tausend Banken und Finanzinstitute wurden möglicherweise von Dyre kompromittiert. Die Aktivitäten dieser Bedrohung wurden im November 2015 eingestellt, was mit der Razzia in den Büros eines russischen Unternehmens zusammenfiel, das Teil der für Dyre verantwortlichen Betrügergruppe war. Leider scheint es, dass jemand, der 2015 an der Entwicklung von Dyre beteiligt war, jetzt an der Entwicklung von Trojan.TrickBot beteiligt ist.

Überwachung der Entwicklung des Trojan.TrickBot

Trojan.TrickBot wurde erstmals im September 2016 in einer Bedrohungskampagne für Computerbenutzer in Australien entdeckt. Einige der betroffenen australischen Finanzinstitute sind NAB, St. George, Westpac und ANZ. Die ersten Trojan.TrickBot-Angriffe betrafen ein Kollektormodul. Neuere Beispiele von Trojan.TrickBot enthalten auch Webinjects in ihrem Angriff und scheinen sich noch im Test zu befinden.

Es gibt mehrere Gründe, warum PC-Sicherheitsanalysten vermuten, dass eine starke Verbindung zwischen Trojan.TrickBot und Dyre besteht. Der an den meisten Angriffen beteiligte Lader ist sehr ähnlich. Sobald Sie die Bedrohungen entschlüsseln, werden die Ähnlichkeiten sehr offensichtlich. Dies bedeutet, dass viele der Betrüger, die für die Entwicklung und Implementierung von Dyre verantwortlich waren, wieder aktiv geworden zu sein scheinen, ein Jahr nach den Dyre-Angriffen der Verhaftung entkommen zu sein und ihre Aktivitäten wieder aufzunehmen. Trojan.TrickBot scheint eine umgeschriebene Version von Dyre zu sein, die viele der gleichen Funktionen beibehält, aber anders geschrieben ist. Im Vergleich zu Dyre gibt es in C ++ in der Trojan.TrickBot-Implementierung eine große Menge an Code. Trojan.TrickBot nutzt die CryptoAPI von Microsoft, anstatt über integrierte Funktionen für die entsprechenden Verschlüsselungsvorgänge zu verfügen. Das Folgende sind die Unterschiede zwischen Trojan.TrickBot und Dyre:

• Trojan.TrickBot führt keine Befehle direkt aus, sondern interagiert stattdessen mit dem Taskplaner über COM, um die Persistenz auf dem infizierten Computer aufrechtzuerhalten.
• Anstatt eine integrierte SHA256-Hashing-Routine oder eine AES-Routine zu verwenden, verwendet Trojan.TrickBot die Microsoft Crypto-API.
• Während Dyre hauptsächlich mit der Programmiersprache C geschrieben wurde, verwendet Trojan.TrickBot einen größeren Teil von C ++ für seinen Code.
• Trojan.TrickBot greift nicht nur große internationale Banken an, sondern kann auch Bitcoin-Geldbörsen stehlen.
• TrojanTrickBot bietet die Möglichkeit, E-Mails und Anmeldeinformationen über das Mimikatz-Tool zu sammeln.
• Außerdem werden Trojan.TrickBot ständig neue Funktionen hinzugefügt.

Diese Unterschiede scheinen jedoch darauf hinzudeuten, dass es eine klare Beziehung zwischen Dyre und Trojan.TrickBot gibt, dass Trojan.TrickBot jedoch tatsächlich ein fortgeschritteneres Entwicklungsstadium der früheren Bedrohung darstellt. Trojan.TrickBot wird mithilfe des Bedrohungsladers 'TrickLoader' geladen, der mit mehreren anderen Bedrohungen in Verbindung gebracht wurde, darunter Pushdo , Cutwail und Vawtrak . Insbesondere Cutwail wurde ebenfalls mit der Dyre-Bedrohung in Verbindung gebracht, was es wahrscheinlich macht, dass die für Trojan.TrickBot verantwortlichen Betrüger versuchen, die enormen Fähigkeiten, die sie bei ihrem vorherigen Angriff genossen haben, wieder aufzubauen.

Betriebsdetails

Trojan.TrickBot stellt eine ernsthafte Bedrohung für die Privatsphäre der Benutzer dar, da sein Hauptzweck darin besteht, Benutzeranmeldeinformationen für Online-Banking-Websites, Paypal-Konten, Kryptowährungs-Wallets und andere finanzielle und persönliche Konten zu stehlen. Die Malware verwendet zwei Techniken, um ihre Opfer zur Bereitstellung der Daten zu verleiten. Die erste Technik heißt statische Injektion und besteht darin, die Anmeldeseite der legitimen Bank-Website durch eine gefälschte zu ersetzen, die sie genau kopiert. Die zweite Methode wird als dynamische Injektion bezeichnet und umfasst die Entführung des Browsers des Opfers und dessen Weiterleitung an einen Server, der von den Betreibern der Malware jedes Mal gesteuert wird, wenn der Benutzer eine URL eingibt, die zu einer Zielbank-Website gehört. In beiden Fällen werden die vom Benutzer eingegebenen Anmeldedaten erfasst und an die Trojan.TrickBot-Betreiber gesendet bzw. können zur Begehung von Finanzbetrug missbraucht werden.

Trojan.TrickBot wird in verschiedenen Modulen und einer Konfigurationsdatei geliefert. Jedes der Module erfüllt eine bestimmte Aufgabe, z. B. das Sicherstellen der Verbreitung und Persistenz der Malware, das Stehlen von Anmeldeinformationen usw. Um eine Erkennung zu vermeiden, werden die schädlichen Module in legitime Prozesse, einschließlich svchost, eingefügt. Außerdem versucht TrickBot, Windows Defender als weitere Maßnahme zu deaktivieren und zu löschen, um die Wahrscheinlichkeit zu verringern, erkannt zu werden.

Der Installationsordner von Trojan.TrickBot befindet sich in C: \ user \ AppData \ Roaming \% Name%, wobei "% Name%" von der jeweiligen Version der Malware abhängt. Es gibt auch eine Kopie von TrickBot mit einem etwas anderen Namen in demselben Ordner sowie eine Datei settings.ini und einen Datenordner. TrickBot stellt seine Persistenz sicher, indem eine geplante Aufgabe und ein Dienst erstellt werden. Der Name der Aufgabe hängt von der Variante der Malware ab, beispielsweise "NetvalTask". Der Registrierungseintrag wird zufällig generiert und befindet sich unter der Dienststruktur, z. B. \ HKLM \ System \ CurrentControlSet \ Services \ {Zufallsname} \ imagePath. Die Betreiber von Trojan.TrickBot haben die Command & Control-Server eingerichtet, mit denen die Malware auf gehackten WLAN-Routern kommuniziert.

Neuere Versionen von TrickBot bieten erweiterte Funktionen

Im November 2018 kamen aktualisierte Versionen von Trojan.TrickBot auf den Malware-Markt und zeigten erweiterte Funktionen. Dazu gehört die Bildschirmsperrfunktion, die in einigen Versionen der Malware beobachtet wurde, die in den Monaten vor November 2018 auftraten. Einige Forscher glaubten damals, dass die Malware-Autoren durch diese neue Komponente darauf abzielten, die Opfer als Lösegeld zu halten, wenn der Trojaner es war Es ist nicht möglich, Bankdaten vom infizierten Computer zu filtern. Um November 2018 wurden ebenfalls verbesserte Funktionen zur Vermeidung der Erkennung hinzugefügt. Zu diesem Zeitpunkt wurde das Trojan.TrickBot-Arsenal durch ein neues Passwort-Modul namens "pwgrab" um eine noch gefährlichere Funktion erweitert - die Malware war nicht mehr an der interessiert Nur von den Benutzer-Websites besucht, aber es war auch in der Lage, beliebte Anwendungen zu entführen und gespeicherte Passwörter von dort zu stehlen. Abgesehen davon begann TrickBot auch mit dem Sammeln von Browser- und Systemdaten wie Cookies, Suchbegriffen, Verlauf, CPU-Informationen, laufenden Prozessen usw. Darüber hinaus konnte sich der Trojaner nach der Installation auf einem Computer selbst aktualisieren. Dies bedeutet, dass ein infizierter Computer immer über die neueste Version von TrickBot verfügt, unabhängig davon, wann die Erstinfektion stattgefunden hat.

Eine weitere neue Version von Trojan.TrickBot wurde im Januar 2019 von Trend Micro-Forschern entdeckt. Diese neue Variante fügte dem Passwort-Diebstahl-Modul von TrickBot drei neue Funktionen hinzu, die auf Virtual Network Computing (VNC), PuTTY und das Remotedesktop-Protokoll abzielen (RDP) Plattformen. Das pwgrab-Modul von TrickBot erfasst VNC-Anmeldeinformationen, indem es nach Dateien sucht, deren Namen ".vnc.lnk" in den Namen "% APPDATA% \ Microsoft \ Windows \ Recent", "% USERPROFILE% \ Documents" und "% USERPROFILE% \" enthalten. Downloads "Ordner. Zum Abrufen von PuTTY- und RDP-Anmeldeinformationen sucht TrickBot im Registrierungsschlüssel Software \ SimonTatham \ Putty \ Sessions und verwendet "die CredEnumerateA-API", um gespeicherte Kennwörter zu identifizieren und zu stehlen. Um den Benutzernamen, den Hostnamen und das Kennwort zu identifizieren, die pro RDP-Berechtigungsnachweis gespeichert wurden, analysiert die Malware die Zeichenfolge "target = TERMSRV". TrickBot lädt eine Konfigurationsdatei mit dem Namen "dpost" vom Command & Control-Server des Bedieners herunter und verwendet einen POST-Befehl, der eingerichtet wurde, um die von den infizierten Geräten gesammelten VNC-, PuTTY- und RDP-Anmeldeinformationen zu filtern.

Im Januar 2019 entdeckten Forscher außerdem, dass TrickBot auch als Access-as-a-Service für andere Akteure fungiert. Sobald eine Maschine infiziert wird, verwandelt sie sich in einen Bot und erstellt Reverse-Shells, sodass andere Malware-Betreiber auf das infizierte Netzwerk zugreifen können und lassen ihre eigenen böswilligen Nutzdaten fallen.

Verhindern von Trojan.TrickBot-Angriffen

Der beste Weg, um Trojan.TrickBot-Angriffe zu verhindern, besteht darin, sicherzustellen, dass Ihr Computer mit einem zuverlässigen, vollständig aktualisierten Anti-Malware-Programm geschützt ist. Online-Banking-Passwörter sollten sicher sein und eine zweistufige Authentifizierung sollte implementiert werden. Seien Sie vorsichtig, wenn Sie Ihre Online-Banking-Konten verwalten, diese Vorgänge auf unbekannten Computern vermeiden und Ihren Computer regelmäßig mit einer aktualisierten Sicherheitsanwendung auf Bedrohungen prüfen.

SpyHunter erkennt und entfernt Trojan.TrickBot