Dokładnie pięć lat temu, w październiku 2016 r., nasze rozwiązania po raz pierwszy napotkały trojana o nazwie Trickbot (znanego również pod nazwami TrickLoader i Trickster). Wówczas występował głównie na komputerach domowych, a jego głównym zadaniem była kradzież danych logowania do usług bankowości internetowej. Jednak w ostatnich latach jego twórcy przekształcili go z trojana bankowego w wielofunkcyjne narzędzie modułowe.
Co więcej, Trickbot jest obecnie popularny wśród grup cyberprzestępczych i jest używany jako narzędzie do wstrzykiwania do infrastruktury korporacyjnej szkodliwego oprogramowania innych firm. Niedawno pojawiła się informacja, że jego autorzy nawiązali kontakt z różnymi nowymi partnerami, aby wykorzystać swoje oprogramowanie do infekowania infrastruktury korporacyjnej różnymi dodatkowymi zagrożeniami, takimi jak ransomware Conti.
Taka zmiana przeznaczenia może stanowić dodatkowe zagrożenie dla pracowników firmowych centrów operacji bezpieczeństwa i innych ekspertów ds. cyberbezpieczeństwa. Niektóre rozwiązania bezpieczeństwa nadal uznają Trickbota za trojana bankowego, zgodnie z jego pierwotnym przeznaczeniem. Dlatego osoby odpowiedzialne za bezpieczeństwo informacji, którzy się na niego natkną, mogą postrzegać go jako zagrożenie dla użytkowników domowych, które przypadkowo wślizgnęło się do sieci firmowej. W rzeczywistości jego obecność może wskazywać na coś znacznie poważniejszego — próbę wstrzyknięcia ransomware lub nawet część ukierunkowanej operacji cyberszpiegowskiej.
Nasi eksperci pobrali moduły trojana z jednego z jego serwerów kontroli i dokładnie je przeanalizowali.
Co potrafi teraz Trickbot
Głównym celem współczesnego Trickbota jest penetracja i rozprzestrzenianie się w sieciach lokalnych. Następnie jego operatorzy mogą używać go do różnych zadań — od odsprzedaży dostępu do infrastruktury korporacyjnej innym atakującym po kradzież poufnych danych. Teraz to szkodliwe oprogramowanie:
- Zbiera nazwy użytkowników, skróty haseł i inne informacje przydatne do ruchu bocznego w sieci z Active Directory i rejestru.
- Przechwytuje ruch sieciowy na zainfekowanym komputerze.
- Zapewnia zdalne sterowanie urządzeniami za pośrednictwem protokołu VNC.
- Kradnie pliki cookie z przeglądarek.
- Wyłuskuje dane logowania z rejestru, baz danych różnych aplikacji i plików konfiguracyjnych, a także kradnie klucze prywatne, certyfikaty SSL i pliki danych dla portfeli kryptowalut.
- Przechwytuje dane autouzupełniania z przeglądarek i informacje wprowadzane przez użytkowników w formularzach na stronach internetowych.
- Skanuje pliki na serwerach FTP i SFTP.
- Osadza szkodliwe skrypty na stronach internetowych.
- Przekierowuje ruch przeglądarki przez lokalny serwer proxy.
- Przejmuje interfejsy API odpowiedzialne za weryfikację łańcucha certyfikatów w celu sfałszowania wyników weryfikacji.
- Zbiera dane logowania do profilu programu Outlook, przechwytuje wiadomości e-mail i wysyła spam za jego pośrednictwem.
- Wyszukuje usługę OWA i łamie do niej dostęp metodą siłową.
- Uzyskuje dostęp do sprzętu na niskim poziomie.
- Zapewnia dostęp do komputera na poziomie sprzętowym.
- Skanuje domeny w poszukiwaniu luk w zabezpieczeniach.
- Wyszukuje adresy serwerów SQL i wykonuje na nich zapytania wyszukiwania.
- Rozprzestrzenia się poprzez exploity EternalRomance i EternalBlue.
- Tworzy połączenia sieci VPN.
Szczegółowy opis modułów i wskaźników włamania można znaleźć w naszym poście w serwisie SecureList.
Jak chronić się przed trojanem Trickbot
Statystyki pokazują, że w tym roku większość przypadków wykrycia Trickbota miała miejsce w Stanach Zjednoczonych, Australii, Chinach, Meksyku i Francji. Nie oznacza to jednak, że inne regiony są bezpieczne, zwłaszcza biorąc pod uwagę, że jego twórcy są gotowi współpracować z innymi cyberprzestępcami.
Aby firma nie padła ofiarą tego trojana, zalecamy wyposażenie wszystkich urządzeń łączących się z internetem w wysokiej jakości rozwiązanie bezpieczeństwa. Ponadto dobrym pomysłem jest skorzystanie z usług monitorowania cyberzagrożeń w celu wykrycia podejrzanej aktywności w infrastrukturze firmy.