Bankowy trojan-trojan TrickBot atakujący komputery z systemem Windows

Opublikowany: 2019-01-17

Ludzie na całym świecie są stale zagrożeni różnego rodzaju złośliwym oprogramowaniem zaprojektowanym w celu uzyskiwania nielegalnych zysków lub kradzieży danych osobowych. Ale jest konkretnie jeden typ, który jest najbardziej znienawidzony; są to trojany bankowe. Raz po raz pojawiają się w różnych formach i wykorzystują użytkowników. Jednak najgorszym, który znalazł się ostatnio w centrum uwagi, jest trojan bankowy TrickBot, który atakuje komputery z systemem Windows. Odkryto, że ten konkretny trojan z powodzeniem wpłynął na Australię, Azję i Amerykę Łacińską. Teraz przemierza także Argentynę, Peru i Chile, planując zainfekować miliony maszyn. Możesz określić intensywność ich sławy i szkód na podstawie faktu, że byli w stanie wysłać ponad 75 000 wiadomości e-mail w ciągu 25 minut, rzekomo z Lloyds Bank w Wielkiej Brytanii w 2017 roku.

Trojan TrickBot
Źródło: – gazeta o bezpieczeństwie

Co to jest Trickbot?

Jest to jeden z najaktywniejszych trojanów bankowych na rynku, który ma mnóstwo możliwości, w tym przekierowywanie adresów URL i wstrzykiwanie stron internetowych. Zostało to po raz pierwszy zidentyfikowane i zauważone w październiku 2016 r. w Australii. Szacuje się, że Trickbot jest obsługiwany i zarządzany przez grupę osób o globalnym zasięgu. Ponadto są sprytni, ponieważ atakowali różnymi technikami, np. Przekierowanie 40% razy, a 60% pozostawili na wstrzykiwanie z sieci. Jest to wzór, który można było już zaobserwować w 40 krajach.

To złośliwe oprogramowanie jest dostarczane użytkownikom za pośrednictwem wiadomości phishingowych, ale zaczęli też badać inne praktyki dystrybucji, takie jak fałszywe strony internetowe. W takich przypadkach działają głównie poprzez wstrzykiwanie sieci.

Trickbot
Źródło: – trendmicro

Wstrzyknięcia internetowe

Przeglądarka internetowa jest zainfekowana przez złośliwe oprogramowanie, które sprawdza każdą odwiedzaną witrynę. Wszystko pozostaje nienaruszone, dopóki nie odwiedzisz strony internetowej banku. Głównym celem atakujących jest wyłudzanie informacji przez użytkowników za pośrednictwem witryn bankowych, gdzie gdy tylko użytkownik odwiedza którąkolwiek z witryn bankowych, kod jest przechwytywany przez sieć w celu kradzieży danych osobowych i wprowadzonych danych uwierzytelniających.

Co bardziej niepokojące we wstrzyknięciach internetowych, nie można nic powiedzieć, patrząc tylko na strony internetowe, ponieważ to nie strona internetowa jest zainfekowana, ale przeglądarka internetowa. Jak w tym scenariuszu możemy zidentyfikować nieprawidłowe działania? Cóż, nikt nie może tego zrobić, chyba że przejdzie do kodu źródłowego strony bankowej.

Jeśli Twoja przeglądarka nie jest zainfekowana, kody będą stosunkowo mniejsze, a jeśli tak, zobaczysz w niej dziwne nowe funkcje. Czasami dodatkowe funkcje lub zestawy kodów zawierają komentarze, które informują nas o ich funkcjonalności, np. o kradzieży danych uwierzytelniających i informowaniu o tym hakerów.

Przekierowanie URL

Trojan bankowy TrickBot

Chociaż zdarzają się przypadki, w których zastosowano przekierowanie adresu URL, ta praktyka staje się coraz rzadsza. Powodem jest fakt, że każde przekierowanie jest możliwe do zidentyfikowania. Ponownie, hakerzy mogą tworzyć tylko podobne i niedokładne adresy URL do przekierowania osoby podczas przeglądania ze względu na zasady rejestracji nazw domen. I można to zauważyć, jeśli ktoś zwraca uwagę na adresy URL.

Co robi Trickbot?

Zgłoszono, że złośliwe oprogramowanie ma wiele złośliwych funkcji, które obejmują: –

  • Zainicjuj komunikację między zainfekowanymi urządzeniami a serwerem dowodzenia.
  • Kradnij poufne informacje, takie jak dane bankowe, dane osobowe itp., wykorzystując sesje przeglądania sieci.
  • Zbierz szczegółowe informacje o maszynach i sieciach, których dotyczy problem.
  • Przekraczaj hasła do kont, które są zapisywane online, introspekuj pliki cookie i historię sieci.
  • Rozszerz jego zasięg, infekując inne maszyny w zainfekowanej sieci.
  • Skonfiguruj dodatkowe narzędzia do złośliwych celów, takie jak klienci VNC, narzędzie zdalnego dostępu lub oprogramowanie ransomware.

Jak działa trojan Trickbot?

Trojan TrickBot
Źródło: – socprime

Przeczytaj także: Trojan Emotet — trojan bankowy, który ewoluował niebezpiecznie

Po wdrożeniu trojan bankowy TrickBot duplikuje się w %APPDATA% i usuwa oryginalną próbkę.

Ponadto dodaje dwa pliki o nazwie client_id i group_tag. Są one tworzone lokalnie i wykorzystywane do wykrywania poszczególnych bota i operacji, z którymi jest powiązany. Te pliki nie są zaszyfrowane i zawierają tekst w Unicode.

client_id : zawiera nazwę zainfekowanej maszyny, wersję systemu operacyjnego i losowo wygenerowany ciąg.

Folder zawiera plik o nazwie config.conf. Jest pobierany przez serwer Command & Control (C&C) i kodowany.

Uwaga : C&C lub C2 są wykorzystywane przez cyberataków do zarządzania komunikacją z zainfekowanymi maszynami w zainfekowanej sieci.

Folder znany jako Modules jest generowany w %APPDATA%. Inne pliki pobierane przez C&C to injectDll32 i systeminfo32.

injectDll32 – Jest to moduł bankiera, który wstrzykuje biblioteki DLL do docelowych przeglądarek w celu zainicjowania kradzieży poświadczeń

systeminfo32 – Służy do zbierania ogólnych informacji o systemie

Te pliki są również zaszyfrowane. Ponadto lista przeglądarek docelowych jest zakodowana w pliku injectDll32.dll. TrickBot czyni go skutecznym, gromadząc się jako zadanie w Harmonogramie zadań systemu Windows. Zadanie nazywa się po prostu „Bot” i nie próbuje się go ukryć. Jeśli jednak spróbujesz zabić zadanie, Silnik Harmonogramu Zadań automatycznie je ponownie uruchomi.

Komunikacja sieciowa

Malware TrickBot komunikuje się z różnymi serwerami. Najpierw komunikuje się z prawidłowym serwerem, aby uzyskać widoczny adres IP. Co zaskakujące, zużywa własnego agenta użytkownika, tj. TrickLoadera lub BotLoadera, i nie próbuje maskować się jako autentyczna przeglądarka. Jednak większość komunikacji TrickBota z centrum dowodzenia i kontroli jest szyfrowana za pomocą protokołu SSL.

client_id i group_id są używane w adresie URL żądania POST, po którym następuje identyfikator polecenia. To cecha zaobserwowana w złośliwym oprogramowaniu Dyreza. Ponadto ładowany jest dodatkowy ładunek bez szyfrowania ruchu sieciowego. C&C są instalowane na zhakowanych routerach bezprzewodowych, np. MikroTik. To kolejna funkcja, która jest wspólna dla Dyrezy i TrickBota. Inną dziwną rzeczą w TrickBocie jest to, że nawet nie próbuje kopiować autentycznie wyglądających nazw dla certyfikatów HTTPs. Zawierają całkowicie losowe dane. Na przykład: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Objawy, które mają wpływ na Twój system

Użytkownicy punktów końcowych nie zobaczą żadnych zmian, ale administrator sieci tak. Symptom zmieni się w ruchu lub próbach uzyskania zastrzeżonych adresów URL i adresów IP znajdujących się na czarnej liście. Dzieje się tak, ponieważ złośliwe oprogramowanie próbuje przekazać dane hakerom. Próbuje wycofać dane i odbierać zadania z serwera Kontroli i Dowodzenia (C&C).

Następstwa

Ponieważ ten trojan wykorzystuje lukę EternalBlue, skupi się na oddziaływaniu na całą sieć, a nie tylko na maszynę. Oznacza to, że gdy Twoja sieć zostanie naruszona, nie ma wyjścia. Możesz wyczyścić konkretną maszynę, ale nie całą sieć. Do pewnego stopnia skuteczna może być izolacja zainfekowanych maszyn i praca nad usunięciem tego trojana.

Oto kilka kroków, które można wykonać, jeśli dotyczy to komputerów sieciowych: –

  1. Wykryj zainfekowane maszyny.
  2. Odizoluj je od sieci.
  3. Użyj łatki dla EternalBlue.
  4. Ogranicz udziały administracyjne.
  5. Blokuj załączniki z różnymi rozszerzeniami plików, takimi jak:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Usuń trojana bankowego TrickBot.
  2. Zmień dane logowania do konta.

Koniecznie przeczytaj : Nowy trojan bankowy IcedID

Ostateczny werdykt

Ten jest bardzo niebezpieczny nie tylko ze względu na swoją agresywność, ale także ze względu na ciągłą ewolucję. Operatorzy tego trojana bankowego zaczęli również atakować użytkowników poczty e-mail programu Outlook, przeglądania danych, a nawet kryptowalut. Musimy wkrótce wymyślić mechanizm obronny, jeśli nie chcemy, aby nasze portfele i konta były puste!