Вредоносная программа Trickbot принадлежит к семейству троянцев шпионских программ, в основном используются для достижения целей банковского сектора.
Его первое появление датируется 2016 годом, и его цели были определены в нескольких штатах, включая США, Канаду, Великобританию, Германию, Австралию, Автрию, Ирландию и Швейцарию.
Вредоносная программа с точки зрения разработки была написана на C ++, одном из языков, способных напрямую обращаться к процессору, регистрам и памяти.
Trickbot - это троянец, работающий только на платформах Windows. Как только вредоносная программа заражает компьютер, ее задача - украсть учетные данные и банковскую информацию, но ее также можно использовать для экспорта файлов или данных в целом.
Вредоносная программа, в первую очередь, имеет возможность загружать код в заражаемую систему и создавать свою реплику в папке% APPDATA%, удаляя исходный файл.
Таким образом, он способен собирать конфиденциальную информацию, такую как личные данные и банковские реквизиты (используя информацию, собранную браузерами), а затем извлекать их, а также адреса электронной почты.
Через свою цепочку C2 он может обновляться до новых версий и извлекать данные. Канал, используемый для его цепочки C2, зашифрован симметричным шифрованием (AES CBC 256 бит).
Он может перенаправлять пользователя на поддельные сайты с целью сбора его учетных данных.
Trickbot использовался некоторыми группами, в первую очередь TA505 и Wizard Spider.
Существуют различные версии вредоносного ПО для 32- и 64-битных систем.
Переносчиком заражения обычно является файл Word с активными макросами, полученный по электронной почте во время кампании. spearphishing.
В ручном режиме можно определить присутствие Trickbot в нашей системе, просто просмотрев папку% APPDATA% и проверив наличие двух типичных файлов Trickbot:
- client_id, содержащий идентификационные данные зараженного пользователя;
- group_tag, содержащий идентификационные данные кампании заражения.
В той же папке находится исполняемый файл Trickbot, изначально скопированный из исходного файла.
Вместо этого кажется, что в настоящий момент нет возможности идентифицировать его присутствие с помощью систем автоматического анализа трафика, поскольку трафик, создаваемый к системе C2, зашифрован (SSL).
Вместо этого его можно идентифицировать, анализируя память, но нужно учитывать, что разные версии оставляют разные следы.
Для удаления Trickbot вы можете называть некоторое программное обеспечение «Malwarebytes» или действовать вручную, в зависимости от версии операционной системы, ничего невозможного, но не простого.
Trickbot - это вредоносная программа, распространяемая посредством фишинговых или целевых фишинговых кампаний, поэтому очень важно уделять пристальное внимание полученным электронным письмам и придерживаться здорового принципа «не открывать подозрительные электронные письма или файлы», даже если его не всегда легко применить.
Trickbot, как и любое другое вредоносное ПО, использует дыры в безопасности системы.
Чтобы защитить себя, иногда бывает достаточно правильной конфигурации используемых систем, с особым упором на правильное использование учетных записей администратора.
Мы также рекомендуем использовать программное обеспечение и системы, поддерживаемые материнской компанией, в частности, в отношении операционных систем, которые являются основой безопасности.
Использование «Обнаружения и реагирования конечных точек» может помочь, если персонал в состоянии справиться с ними.
Для получения дополнительной информации:
- https://fraudwatchinternational.com/malware/trickbot-malware-works/
- https://attack.mitre.org/software/S0266/
- https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-...
- https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-repor...
- https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
- https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain...
