TrickBot Banking Trojan-Trojan Menargetkan Mesin Windows

Orang-orang di seluruh dunia berada di bawah ancaman terus-menerus dari berbagai malware yang dirancang untuk menghasilkan keuntungan ilegal atau untuk mencuri data pribadi. Tapi ada satu jenis yang paling dibenci; mereka adalah Trojan Perbankan. Berkali-kali, mereka muncul dalam berbagai bentuk dan mengeksploitasi pengguna. Tapi yang terburuk yang baru-baru ini menjadi pusat perhatian adalah Trojan TrickBot Banking yang menargetkan mesin Windows. Telah ditemukan bahwa Trojan khusus ini telah berhasil memengaruhi Australia, Asia, dan Amerika Latin. Sekarang virus ini juga menyebar ke Argentina, Peru, dan Chili, berencana menginfeksi jutaan mesin. Anda dapat menentukan intensitas ketenaran dan kerusakan mereka dari fakta bahwa mereka dapat mengirim lebih dari 75000 email dalam 25 menit yang mengaku dari Lloyds Bank, Inggris, pada tahun 2017.

Apa itu Trickbot?

Ini adalah salah satu Trojan perbankan paling aktif di pasar yang memiliki banyak kemampuan termasuk pengalihan URL dan injeksi web. Ini pertama kali diidentifikasi dan terlihat pada Oktober 2016 di Australia. Diperkirakan Trickbot dioperasikan dan dikelola oleh sekelompok individu dengan jangkauan global. Juga, mereka cerdas, karena mereka telah menyerang melalui teknik yang berbeda yaitu Pengalihan 40% kali dan meninggalkan 60% untuk injeksi web. Ini adalah pola yang telah terlihat di 40 negara sekarang.

Malware ini dikirim ke pengguna melalui email phishing, tetapi mereka juga mulai mengeksplorasi praktik distribusi lain seperti situs web palsu. Dalam kasus seperti itu, mereka terutama beroperasi melalui injeksi web.

Injeksi Web

Peramban web terinfeksi oleh malware, yang terus memeriksa setiap situs web yang Anda kunjungi. Semuanya tetap tidak terpengaruh sampai Anda mengunjungi situs web perbankan. Tujuan utama penyerang adalah untuk mengelabui pengguna melalui situs web perbankan, di mana segera setelah pengguna mengunjungi situs web perbankan mana pun, sebuah kode dicegat melalui jaringan untuk mencuri informasi pribadi dan kredensial yang dimasukkan.

Apa yang lebih mengganggu dalam injeksi web adalah Anda tidak dapat mengetahui apa pun hanya dengan melihat situs web karena bukan situs web yang terinfeksi tetapi browser web. Dalam skenario ini, bagaimana kita dapat mengidentifikasi aktivitas abnormal? Yah, tidak ada yang bisa melakukannya kecuali mereka pergi ke kode sumber halaman perbankan.

Jika browser Anda tidak terinfeksi, kodenya akan relatif lebih kecil, sedangkan jika ya, Anda akan melihat beberapa fungsi baru yang aneh di dalamnya. Terkadang, fungsi tambahan atau kumpulan kode memiliki komentar yang memberi tahu kami tentang fungsinya, yaitu mencuri kredensial dan memberi tahu peretas tentang hal yang sama.

Pengalihan URL

Meskipun ada beberapa contoh di mana pengalihan URL telah digunakan, tetapi praktik ini menjadi langka. Alasan di baliknya adalah kenyataan bahwa setiap pengalihan dapat diidentifikasi. Sekali lagi, peretas hanya dapat membuat URL yang serupa dan tidak tepat untuk mengarahkan seseorang saat menjelajah karena aturan pendaftaran nama domain. Dan, ini dapat terlihat jika seseorang memperhatikan URL.

Apa yang Dilakukan Trickbot?

Malware ini dilaporkan memiliki banyak kemampuan berbahaya yang meliputi: –

• Memulai komunikasi antara perangkat yang terinfeksi dan server perintah.
• Curi informasi rahasia seperti kredensial bank, info pribadi, dll dengan memanfaatkan sesi penjelajahan web.
• Kumpulkan informasi mendetail tentang mesin dan jaringan yang terpengaruh.
• Kompromi kata sandi akun yang disimpan secara online, introspeksi cookie, dan riwayat web.
• Perluas jangkauannya dengan menginfeksi mesin lain di jaringan yang terinfeksi.
• Siapkan alat lebih lanjut untuk tujuan jahat seperti klien VNC, Alat Akses Jarak Jauh, atau ransomware.

Bagaimana Trickbot Trojan Bekerja?

Baca Juga : Emotet Trojan- Trojan Perbankan Yang Telah Berkembang Secara Berbahaya

Setelah digunakan, trojan perbankan TrickBot menggandakan dirinya menjadi%APPDATA% dan menghapus sampel asli.

Selanjutnya, ia menambahkan dua file yang disebut client_id dan group_tag. Mereka dibuat secara lokal dan digunakan untuk mendeteksi bot individu dan operasi yang terkait dengannya. File-file ini tidak dienkripsi dan berisi teks dalam Unicode.

client_id : termasuk nama mesin yang terinfeksi, versi OS, dan string yang dibuat secara acak.

Folder tersebut berisi file bernama config.conf. Itu diunduh melalui server Command & Control (C&C) dan disandikan.

Catatan : C&C atau C2 digunakan oleh penyerang dunia maya untuk mengelola komunikasi dengan mesin yang terinfeksi dalam jaringan yang terinfeksi.

Folder yang dikenal sebagai Modul dihasilkan di %APPDATA%. File lain yang diunduh melalui C&C adalah injectDll32 dan systeminfo32.

injectDll32 - Ini adalah modul bankir yang menyuntikkan DLL di dalam browser target untuk memulai pencurian kredensial

systeminfo32 – Digunakan untuk mengumpulkan info sistem umum

File-file ini juga dikodekan. Selain itu, daftar browser target di-hardcode di dalam injectDll32.dll. TrickBot membuatnya efektif dengan mengakumulasikan dirinya sebagai tugas di Penjadwal Tugas Windows. Tugas ini hanya disebut 'Bot' dan tidak ada upaya yang dilakukan untuk menyembunyikan tugas ini. Namun, jika Anda mencoba untuk menghentikan tugas, Mesin Penjadwal Tugas akan memulai ulang secara otomatis.

Jaringan komunikasi

Malware TrickBot berkomunikasi dengan server yang berbeda. Pada awalnya, ia berkomunikasi dengan server yang valid untuk mendapatkan IP yang terlihat. Anehnya, ia menggunakan Agen Penggunanya sendiri yaitu TrickLoader atau BotLoader dan tidak mencoba menutupi dirinya sebagai peramban asli. Tetapi sebagian besar komunikasi TrickBot dengan Pusat Komando dan Kontrol dienkripsi SSL.

client_id dan group_id, digunakan dalam URL permintaan POST diikuti oleh id perintah. Ini adalah sifat yang diamati pada malware Dyreza. Selanjutnya, muatan tambahan dimuat tanpa mengenkripsi lalu lintas jaringan. C&C diinstal pada router nirkabel yang disusupi, yaitu MikroTik. Ini adalah fitur lain yang umum ditemukan antara Dyreza dan TrickBot. Hal aneh lainnya tentang TrickBot adalah ia bahkan tidak mencoba menyalin nama yang tampak asli untuk sertifikat HTTPs. Mereka termasuk data yang sepenuhnya acak. Misalnya: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Gejala Sistem Anda Terkena

Pengguna titik akhir tidak akan melihat perubahan apa pun, tetapi admin jaringan akan melihatnya. Gejala akan berubah dalam lalu lintas atau upaya untuk mencapai URL yang dibatasi dan IP yang masuk daftar hitam. Ini terjadi karena malware mencoba meneruskan data ke peretas. Ia mencoba menarik data dan menerima tugas dari server Control and Command (C&C).

Akibat

Karena Trojan ini menggunakan kerentanan EternalBlue, ia akan berfokus untuk memengaruhi seluruh jaringan, bukan hanya mesin. Ini menyiratkan bahwa begitu jaringan Anda terpengaruh, tidak ada jalan keluar. Anda dapat membersihkan mesin tertentu tetapi tidak seluruh jaringan. Sejauh mengisolasi mesin yang terinfeksi dan bekerja untuk menghapus Trojan ini mungkin efektif.

Berikut adalah beberapa langkah yang dapat Anda ikuti jika mesin jaringan terpengaruh: –

1. Deteksi mesin yang terinfeksi.
2. Pisahkan mereka dari jaringan.
3. Gunakan Patch untuk EternalBlue.
4. Batasi Pembagian Administratif.
5. Blokir lampiran dengan berbagai ekstensi file seperti:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

1. Hapus Trojan perbankan TrickBot.
2. Ubah kredensial akun.

Harus Dibaca : IcedID Trojan Perbankan Baru

Putusan Akhir

Yang satu ini sangat berbahaya bukan hanya karena agresivitasnya tetapi juga karena evolusinya yang konstan. Operator Trojan perbankan ini juga mulai menargetkan pengguna di email Outlook, menelusuri data, dan bahkan cryptocurrency. Kita harus segera membuat mekanisme pertahanan jika kita tidak ingin dompet dan akun kita kosong!