TrickBot Banking-Trojaner – Trojaner, der auf Windows-Rechner abzielt

Veröffentlicht: 2019-01-17

Menschen auf der ganzen Welt sind ständig von verschiedener Malware bedroht, die darauf ausgelegt ist, illegale Gewinne zu erzielen oder persönliche Daten zu stehlen. Aber es gibt genau einen Typ, der am meisten gehasst wird; sie sind Banking-Trojaner. Immer wieder treten sie in unterschiedlichen Formen auf und nutzen Nutzer aus. Aber der schlimmste, der in letzter Zeit ins Rampenlicht gerückt ist, ist der Banking-Trojaner TrickBot, der auf Windows-Rechner abzielt. Es wurde herausgefunden, dass dieser spezifische Trojaner Australien, Asien und Lateinamerika erfolgreich beeinflusst hat. Jetzt bahnt es sich auch seinen Weg durch Argentinien, Peru und Chile und plant, Millionen von Maschinen zu infizieren. Sie können die Intensität ihrer Bekanntheit und ihres Schadens daran erkennen, dass sie im Jahr 2017 in der Lage waren, über 75.000 E-Mails in 25 Minuten zu versenden, die angeblich von der Lloyds Bank, UK, stammen.

TrickBot-Trojaner
Quelle: – Sicherheitszeitung

Was ist TrickBot?

Dies ist einer der aktivsten Banking-Trojaner auf dem Markt, der über eine Fülle von Funktionen verfügt, darunter URL-Umleitungen und Web-Injektionen. Dies wurde erstmals im Oktober 2016 in Australien identifiziert und gesichtet. Es wird geschätzt, dass Trickbot von einer Gruppe von Personen mit globaler Reichweite betrieben und verwaltet wird. Außerdem sind sie schlau, da sie in 40 % der Fälle mit verschiedenen Techniken angegriffen haben, z. B. Umleitung, und 60 % Web-Injektionen überlassen haben. Es ist ein Muster, das jetzt in 40 Ländern beobachtet wurde.

Diese Malware wird den Benutzern über Phishing-E-Mails zugestellt, aber sie haben auch damit begonnen, andere Verbreitungsmethoden wie gefälschte Websites zu untersuchen. In solchen Fällen arbeiten sie hauptsächlich über Web-Injections.

Trickbot
Quelle: – trendmicro

Web-Injektionen

Der Webbrowser ist mit der Malware infiziert, die jede von Ihnen besuchte Website überprüft. Alles bleibt unberührt, bis Sie eine Banking-Website besuchen. Das Hauptziel der Angreifer ist es, Benutzer über Banking-Websites zu phishing, wobei, sobald der Benutzer eine der Banking-Websites besucht, ein Code über das Netzwerk abgefangen wird, um persönliche Informationen und eingegebene Anmeldeinformationen zu stehlen.

Was bei Web-Injektionen noch beunruhigender ist, ist, dass Sie nichts erkennen können, wenn Sie sich die Websites ansehen, da nicht die Website infiziert ist, sondern der Webbrowser. Wie können wir in diesem Szenario anormale Aktivitäten identifizieren? Nun, niemand kann dies tun, es sei denn, er geht zum Quellcode der Banking-Seite.

Wenn Ihr Browser nicht infiziert ist, werden die Codes relativ kleiner sein, während Sie in diesem Fall einige seltsame neue Funktionen sehen werden. Manchmal haben die zusätzlichen Funktionen oder Codesätze Kommentare, die uns über ihre Funktionalität informieren, dh die Anmeldeinformationen stehlen und Hacker darüber informieren.

URL-Umleitung

Banking-Trojaner TrickBot

Es gibt zwar Fälle, in denen eine URL-Umleitung verwendet wurde, aber diese Praxis wird immer seltener. Der Grund dafür ist die Tatsache, dass jede Weiterleitung identifizierbar ist. Auch hier können Hacker aufgrund von Registrierungsregeln für Domainnamen nur ähnliche und nicht exakte URLs erstellen, um eine Person beim Surfen umzuleiten. Und dies kann erkannt werden, wenn jemand auf die URLs achtet.

Was Trickbot tut?

Es wird berichtet, dass die Malware viele bösartige Fähigkeiten hat, darunter: –

  • Initiieren Sie die Kommunikation zwischen infizierten Geräten und dem Befehlsserver.
  • Stehlen Sie vertrauliche Informationen wie Bankdaten, persönliche Daten usw., indem Sie Web-Browsing-Sitzungen ausnutzen.
  • Sammeln Sie detaillierte Informationen über betroffene Maschinen und Netzwerke.
  • Kompromittieren Sie online gespeicherte Kontopasswörter, überprüfen Sie Cookies und den Webverlauf.
  • Erweitern Sie seine Reichweite, indem Sie andere Computer im infizierten Netzwerk infizieren.
  • Richten Sie weitere Tools für böswillige Zwecke wie VNC-Clients, Remote Access Tool oder Ransomware ein.

Wie funktioniert der Trickbot-Trojaner?

TrickBot-Trojaner
Quelle: – socprime

Lesen Sie auch: Emotet-Trojaner – ein Banking-Trojaner, der sich gefährlich entwickelt hat

Nach der Bereitstellung dupliziert sich der TrickBot-Banking-Trojaner in %APPDATA% und entfernt das Original-Sample.

Außerdem fügt es zwei Dateien namens client_id und group_tag hinzu. Sie werden lokal erstellt und verwendet, um den einzelnen Bot und die Operation, mit der er verbunden ist, zu erkennen. Diese Dateien sind nicht verschlüsselt und enthalten Text in Unicode.

client_id : Enthält den Namen des infizierten Computers, die Version des Betriebssystems und eine zufällig generierte Zeichenfolge.

Der Ordner enthält eine Datei namens config.conf. Es wird über den Command & Control (C&C)-Server heruntergeladen und verschlüsselt.

Hinweis : C&C oder C2 wird von Cyberangreifern verwendet, um die Kommunikation mit infizierten Computern innerhalb eines infizierten Netzwerks zu verwalten.

Ein Ordner namens Modules wird in %APPDATA% generiert. Andere über C&C heruntergeladene Dateien sind injectDll32 und systeminfo32.

injectDll32 – Es ist ein Bankmodul, das DLLs in Zielbrowser einfügt, um den Diebstahl von Anmeldeinformationen zu initiieren

systeminfo32 – Es wird zum Sammeln allgemeiner Systeminformationen verwendet

Auch diese Dateien sind verschlüsselt. Darüber hinaus ist die Liste der Zielbrowser in injectDll32.dll fest codiert. TrickBot macht es effektiv, indem es sich selbst als Aufgabe im Windows-Taskplaner ansammelt. Die Aufgabe heißt einfach „Bot“ und es wird nicht versucht, diese Aufgabe zu verbergen. Wenn Sie jedoch versuchen, die Aufgabe zu beenden, startet die Taskplaner-Engine sie automatisch neu.

Netzwerk-Kommunikation

TrickBot-Malware kommuniziert mit verschiedenen Servern. Zunächst kommuniziert es mit einem gültigen Server, um eine sichtbare IP zu erhalten. Überraschenderweise verwendet es seinen eigenen User Agent, dh TrickLoader oder BotLoader, und versucht nicht, sich als authentischer Browser zu tarnen. Der größte Teil der Kommunikation des TrickBot mit dem Command and Control Center ist jedoch SSL-verschlüsselt.

client_id und group_id werden in der URL der POST-Anforderung verwendet, gefolgt von der Befehls-ID. Dies war eine Eigenschaft, die in der Dyreza-Malware beobachtet wurde. Außerdem wird eine zusätzliche Nutzlast geladen, ohne den Netzwerkverkehr zu verschlüsseln. C&Cs werden auf kompromittierten WLAN-Routern installiert, z. B. MikroTik. Dies ist eine weitere Funktion, die Dyreza und TrickBot gemeinsam haben. Eine weitere seltsame Sache bei TrickBot ist, dass es nicht einmal versucht, authentisch aussehende Namen für HTTPs-Zertifikate zu kopieren. Sie enthalten völlig zufällige Daten. Zum Beispiel: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Symptome, dass Ihr System betroffen ist

Endpoint-Benutzer sehen keine Änderungen, der Netzwerkadministrator jedoch. Das Symptom ändert sich im Datenverkehr oder bei den Bemühungen, eingeschränkte URLs und IPs auf der schwarzen Liste zu erreichen. Dies geschieht, weil die Malware versucht, die Daten an Hacker weiterzuleiten. Es versucht, Daten abzurufen und Aufgaben vom Control and Command (C&C)-Server zu empfangen.

Nachwirkungen

Da dieser Trojaner die EternalBlue-Schwachstelle ausnutzt, konzentriert er sich darauf, das gesamte Netzwerk zu beeinträchtigen, nicht nur einen Computer. Dies bedeutet, dass es keinen Ausweg mehr gibt, sobald Ihr Netzwerk betroffen ist. Sie können einen bestimmten Computer bereinigen, aber nicht das gesamte Netzwerk. Bis zu einem gewissen Grad kann es effektiv sein, infizierte Computer zu isolieren und daran zu arbeiten, diesen Trojaner zu entfernen.

Hier sind einige Schritte, die Sie befolgen können, wenn Netzwerkcomputer betroffen sind: –

  1. Infizierte Maschine(n) erkennen.
  2. Isolieren Sie sie vom Netzwerk.
  3. Verwenden Sie den Patch für EternalBlue.
  4. Beschränken Sie administrative Freigaben.
  5. Blockieren Sie Anhänge mit verschiedenen Dateierweiterungen wie:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Entfernen Sie den Banking-Trojaner TrickBot.
  2. Kontoanmeldeinformationen ändern.

Muss gelesen werden: IcedID Neuer Banking-Trojaner

Das endgültige Urteil

Dieser ist nicht nur wegen seiner Aggressivität, sondern auch wegen seiner ständigen Entwicklung sehr gefährlich. Die Betreiber dieses Banking-Trojaners haben auch damit begonnen, Benutzer auf Outlook-E-Mails, Browsing-Daten und sogar Kryptowährungen abzuzielen. Wir müssen uns bald einen Verteidigungsmechanismus einfallen lassen, wenn wir nicht wollen, dass unsere Brieftaschen und Konten leer werden!