Trickbot-Malware gehört zur Trojanerfamilie Spyware, hauptsächlich gegen die Ziele des Bankensektors eingesetzt.
Sein erster Auftritt geht auf das Jahr 2016 zurück und seine Ziele wurden in mehreren Staaten festgelegt, darunter in den USA, Kanada, Großbritannien, Deutschland, Australien, Autria, Irland und der Schweiz.
Die Malware wurde in Bezug auf die Entwicklung in C ++ geschrieben, einer der Sprachen, die direkt auf die CPU, die Register und den Speicher zugreifen können.
Trickbot ist ein Trojaner, der nur auf Windows-Plattformen funktioniert. Sobald die Malware einen PC infiziert, besteht ihre Aufgabe darin, Anmeldeinformationen und Bankdaten zu stehlen. Sie kann jedoch auch zum Exportieren von Dateien oder Daten im Allgemeinen verwendet werden.
Die Malware hat in erster Linie die Möglichkeit, den Code in das zu infizierende System zu laden und eine Replik von sich selbst im Ordner% APPDATA% zu erstellen, wobei die Originaldatei gelöscht wird.
Es ist daher in der Lage, vertrauliche Informationen wie personenbezogene Daten und Bankdaten (unter Verwendung der von Browsern gesammelten Informationen) zu sammeln und diese dann zu filtern, aber auch E-Mail-Adressen.
Durch seine C2-Kette ist es in der Lage, sich auf neue Versionen zu aktualisieren und die Daten zu filtern. Der für seine C2-Kette verwendete Kanal ist mit symmetrischer Verschlüsselung (AES CBC 256 Bit) verschlüsselt.
Es ist in der Lage, den Benutzer auf gefälschte Websites umzuleiten, um seine Anmeldeinformationen zu sammeln.
Trickbot wurde von einigen Gruppen eingesetzt, insbesondere von TA505 und Wizard Spider.
Es gibt verschiedene Versionen der Malware für 32- und 64-Bit-Systeme.
Der Infektionsvektor ist im Allgemeinen eine Word-Datei mit aktiven Makros, die während einer Kampagne per E-Mail empfangen wird Speerfischen.
Es ist möglich, das Vorhandensein von Trickbot auf unserem System im manuellen Modus zu identifizieren, indem Sie einfach den Ordner% APPDATA% überprüfen und das Vorhandensein der beiden typischen Trickbot-Dateien überprüfen:
- client_id, die die Identifikationsdaten eines infizierten Benutzers enthält;
- group_tag, der die Identifikationsdaten der Infektionskampagne enthält.
Im selben Ordner befindet sich die ausführbare Trickbot-Datei, die ursprünglich aus der Originaldatei kopiert wurde.
Stattdessen scheint es derzeit keine Möglichkeit zu geben, seine Anwesenheit durch automatische Verkehrsanalysesysteme zu identifizieren, da der zum C2-System erzeugte Verkehr verschlüsselt (SSL) ist.
Stattdessen kann es durch Speicheranalyse identifiziert werden, es muss jedoch berücksichtigt werden, dass die verschiedenen Versionen unterschiedliche Spuren hinterlassen.
Zum Entfernen von Trickbot können Sie einige Software als "Malwarebytes" bezeichnen oder Sie müssen manuell fortfahren, je nach Version des Betriebssystems nichts unmöglich, aber nicht einfach.
Trickbot ist eine Malware, die durch Phishing- oder Spearphishing-Kampagnen verbreitet wird. Daher ist es sehr wichtig, die empfangenen E-Mails genau zu beachten und das gesunde Prinzip "Keine verdächtigen E-Mails oder Dateien öffnen" zu übernehmen, auch wenn dies nicht immer einfach anzuwenden ist.
Trickbot nutzt wie jede Malware Sicherheitslücken im System aus.
Um sich zu schützen, reicht manchmal die korrekte Konfiguration der verwendeten Systeme aus, insbesondere in Bezug auf die korrekte Verwendung von Administratorkonten.
Wir empfehlen auch die Verwendung von Software und Systemen, die von der Muttergesellschaft unterstützt werden, insbesondere im Hinblick auf die Betriebssysteme, die die Grundlage für die Sicherheit bilden.
Die Verwendung von "Endpunkterkennung und -reaktion" kann hilfreich sein, solange die Mitarbeiter damit umgehen können.
Um mehr zu erfahren:
- https://fraudwatchinternational.com/malware/trickbot-malware-works/
- https://attack.mitre.org/software/S0266/
- https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-...
- https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-repor...
- https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
- https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain...
