TrickBot Banking Troian-Trojan care vizează mașini Windows

Publicat: 2019-01-17

Oamenii din întreaga lume sunt amenințați constant cu diferite programe malware concepute pentru a obține profituri ilicite sau pentru a fura date personale. Dar există în mod specific un tip care este cel mai urât; sunt troieni bancare. Din nou și din nou, aceștia își fac apariții sub diferite forme și exploatează utilizatorii. Dar cel mai rău care a atras atenția recent este troianul TrickBot Banking care vizează mașinile Windows. S-a descoperit că acest troian specific a afectat cu succes Australia, Asia și America Latină. Acum își face drum și prin Argentina, Peru și Chile, plănuind să infecteze milioane de mașini. Puteți determina intensitatea notorietății și a prejudiciului lor din faptul că au reușit să trimită peste 75000 de e-mailuri în 25 de minute, pretinzând de la Lloyds Bank, Marea Britanie, în 2017.

Troian TrickBot
Sursa: – ziarul de securitate

Ce este Trickbot?

Acesta este unul dintre cei mai activi troieni bancari de pe piață, care are o multitudine de capabilități, inclusiv redirecționări URL și injecții web. Acesta a fost identificat și observat pentru prima dată în octombrie 2016 în Australia. Se estimează că Trickbot este operat și gestionat de un grup de indivizi cu extindere globală. De asemenea, sunt deștepți, deoarece au atacat prin diferite tehnici, adică Redirecționare de 40% din ori și au lăsat 60% la injecții web. Este un model care a fost văzut în 40 de țări acum.

Acest malware este livrat utilizatorilor prin e-mailuri de phishing, dar aceștia au început, de asemenea, să exploreze alte practici de distribuție, cum ar fi site-urile web false. În astfel de cazuri, ele funcționează în principal prin injecții web.

Trickbot
Sursa: – trendmicro

Injecții Web

Browserul web este infectat de malware, care verifică fiecare site web pe care îl vizitați. Totul rămâne neafectat până când vizitați un site web bancar. Obiectivul principal al atacatorilor este de a phishing utilizatorii prin intermediul site-urilor bancare, unde de îndată ce utilizatorul vizitează oricare dintre site-urile bancare, un cod este interceptat prin rețea pentru a fura informațiile personale și acreditările introduse.

Ceea ce este mai deranjant în injecțiile web este că nu poți spune nimic doar privind site-urile web, deoarece nu site-ul web este infectat, ci browserul web. În acest scenariu, cum putem identifica activitățile anormale? Ei bine, nimeni nu poate face asta decât dacă merge la codul sursă al paginii bancare.

Dacă browserul dvs. nu este infectat, codurile vor fi relativ mai mici, în timp ce dacă este, atunci veți vedea câteva funcții noi ciudate în el. Uneori, funcțiile suplimentare sau setul de coduri au comentarii care ne informează despre funcționalitatea lor, adică furtul acreditărilor și informarea hackerilor despre acestea.

Redirecționare URL

Troian bancar TrickBot

Deși există cazuri în care a fost folosită redirecționarea URL, dar această practică devine rară. Motivul din spate este faptul că orice redirecționare este identificabilă. Din nou, hackerii pot crea numai adrese URL similare și nu exacte pentru redirecționarea unei persoane în timpul navigării, datorită regulilor de înregistrare a numelor de domenii. Și, acest lucru poate fi observat dacă cineva acordă atenție adreselor URL.

Ce face Trickbot?

Se raportează că programul malware are multe capacități rău intenționate care includ: –

  • Inițiază comunicarea între dispozitivele infectate și serverul de comandă.
  • Furați informații confidențiale, cum ar fi acreditările bancare, informații personale etc. prin exploatarea sesiunilor de navigare pe web.
  • Colectați informații detaliate despre mașinile și rețelele afectate.
  • Compromite parolele contului care sunt salvate online, cookie-uri introspective și istoricul web.
  • Extindeți-i raza de acțiune infectând alte mașini din rețeaua infectată.
  • Configurați instrumente suplimentare pentru scopuri rău intenționate, cum ar fi clienții VNC, instrumentul de acces la distanță sau ransomware.

Cum funcționează Troianul Trickbot?

Troian TrickBot
Sursa: – socprime

Citește și: Emotet Troian - Un troian bancar care a evoluat periculos

Odată implementat, troianul bancar TrickBot se dublează în%APPDATA% și elimină eșantionul original.

În plus, adaugă două fișiere numite client_id și group_tag. Acestea sunt create local și utilizate pentru a detecta botul individual și operațiunea cu care este asociat. Aceste fișiere nu sunt criptate și conțin text în Unicode.

client_id : include numele mașinii infectate, versiunea sistemului de operare și un șir generat aleatoriu.

Dosarul conține un fișier numit config.conf. Este descărcat prin serverul Command & Control (C&C) și codificat.

Notă : C&C sau C2 este utilizat de atacatorii cibernetici pentru a gestiona comunicațiile cu mașinile infectate dintr-o rețea infectată.

Un folder cunoscut sub numele de Module este generat în %APPDATA%. Alte fișiere descărcate prin C&C sunt injectDll32 și systeminfo32.

injectDll32 – Este un modul bancar care injectează DLL-uri în browserele țintă pentru a iniția furtul de acreditări

systeminfo32 – Este folosit pentru colectarea informațiilor generale de sistem

Aceste fișiere sunt, de asemenea, codificate. Mai mult decât atât, lista browserelor țintă este codificată în interiorul injectDll32.dll. TrickBot îl face eficient acumulându-se ca sarcină în Windows Task Scheduler. Sarcina se numește pur și simplu „Bot” și nu se încearcă ascunderea acestei sarcini. Cu toate acestea, dacă încercați să omorâți sarcina, Motorul de planificare a sarcinilor o repornește automat.

Comunicare în rețea

Programul malware TrickBot comunică cu diferite servere. La început, comunică cu un server valid pentru a obține un IP vizibil. În mod surprinzător, își consumă propriul User Agent, adică TrickLoader sau BotLoader și nu încearcă să se mascheze ca un browser autentic. Dar cea mai mare parte a comunicării TrickBot cu centrul de comandă și control este criptată SSL.

client_id și group_id, sunt utilizate în adresa URL a cererii POST urmate de id-ul comenzii. Aceasta a fost o trăsătură observată în programul malware Dyreza. În plus, o sarcină utilă suplimentară este încărcată fără a cripta traficul de rețea. C&C-urile sunt instalate pe routere wireless compromise, adică MikroTik. Aceasta este o altă caracteristică care se găsește comună între Dyreza și TrickBot. Un alt lucru ciudat despre TrickBot este că nici măcar nu încearcă să copieze nume cu aspect autentic pentru certificatele HTTPs. Acestea includ date complet aleatorii. De exemplu: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Simptome că sistemul dvs. este afectat

Utilizatorii endpoint nu vor vedea nicio modificare, dar administratorul rețelei va vedea. Simptom se va modifica în trafic sau eforturile de a ajunge la adrese URL restricționate și IP-uri incluse pe lista neagră. Acest lucru se întâmplă deoarece malware-ul încearcă să trimită datele către hackeri. Încearcă să retragă date și să primească sarcini de la serverul de control și comandă (C&C).

Urmări

Deoarece acest troian folosește vulnerabilitatea EternalBlue, se va concentra pe afectarea întregii rețele, nu doar pe o mașină. Aceasta înseamnă că, odată ce rețeaua dvs. este afectată, nu există nicio ieșire. Puteți curăța o anumită mașină, dar nu întreaga rețea. Într-o anumită măsură, izolarea mașinilor infectate și lucrul pentru a elimina acest troian ar putea fi eficace.

Iată câțiva pași pe care îi puteți urma dacă mașinile din rețea sunt afectate: –

  1. Detectați mașinile infectate.
  2. Izolați-le de rețea.
  3. Folosește Patch-ul pentru EternalBlue.
  4. Restricționați acțiunile administrative.
  5. Blocați atașamentele cu diferite extensii de fișiere, cum ar fi:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Eliminați troianul bancar TrickBot.
  2. Schimbați acreditările contului.

Trebuie citit: IcedID New Banking Troian

Verdictul final

Acesta este foarte periculos nu numai din cauza agresivității sale, ci și din cauza evoluției sale constante. Operatorii acestui troian bancar au început să vizeze utilizatorii și pe e-mailurile Outlook, datele de navigare și chiar criptomonede. Trebuie să găsim un mecanism de apărare în curând dacă nu vrem să ne vedem portofelele și conturile goale!