תוכנות זדוניות Trickbot שייכות למשפחת טרויאנים תוכנות ריגולהמועסקים בעיקר כנגד יעדי המגזר הבנקאי.
הופעתו הראשונה מתוארכת לשנת 2016 והמטרות שלה זוהו במספר מדינות, בהן ארצות הברית, קנדה, בריטניה, גרמניה, אוסטרליה, אוטריה, אירלנד ושוויץ.
התוכנה הזדונית, בכל הקשור לפיתוח, נכתבה ב- C ++, אחת השפות המסוגלות לגשת ישירות למעבד, לרישומים ולזיכרון.
Trickbot הוא טרויאני שעובד רק בפלטפורמות Windows. ברגע שהתוכנה הזדונית מדביקה מחשב אישי, המשימה שלה היא לגנוב אישורים ומידע בנקאי, אך ניתן להשתמש בה גם לייצוא קבצים או נתונים באופן כללי.
התוכנה הזדונית, מלכתחילה, יכולה לטעון את הקוד במערכת להידבק וליצור העתק של עצמה בתוך התיקיה% APPDATA%, למחוק את הקובץ המקורי.
לפיכך הוא מסוגל לאסוף מידע רגיש כמו נתונים אישיים ותעודות בנקאיות (באמצעות המידע שנאסף על ידי הדפדפנים) ואז לסנן אותם אך גם כתובות דוא"ל.
באמצעות שרשרת ה- C2 שלה היא מסוגלת לעדכן את עצמה לגרסאות חדשות ולסנן נתונים. הערוץ המשמש לרשת C2 שלו מוצפן בהצפנה סימטרית (AES CBC 256 bit).
הוא מסוגל להפנות את המשתמש לאתרי אינטרנט מזויפים לצורך איסוף האישורים שלו.
Trickbot הועסק על ידי כמה קבוצות, ובמיוחד TA505 ו- Wizard Spider.
קיימות גרסאות שונות של תוכנות זדוניות, עבור מערכות 32 ו- 64 סיביות.
וקטור הזיהום הוא בדרך כלל קובץ Word עם מקרואים פעילים, המתקבל באמצעות דואר אלקטרוני במהלך קמפיין חנית.
אפשר לזהות את הנוכחות של Trickbot במערכת שלנו במצב ידני פשוט על ידי התבוננות בתיקיה% APPDATA% ואימות נוכחותם של שני קבצי Trickbot האופייניים:
- client_id, המכיל את נתוני הזיהוי של משתמש נגוע;
- group_tag, המכיל את נתוני הזיהוי של קמפיין ההדבקה.
באותה תיקיה נמצא קובץ ההפעלה Trickbot שהועתק במקור מהקובץ המקורי.
במקום זאת, נראה שכרגע אין דרך לזהות את נוכחותה באמצעות מערכות ניתוח אוטומטיות לתנועה, שכן התנועה שנוצרת לכיוון מערכת C2 מוצפנת (SSL).
במקום זאת ניתן לזהות אותו על ידי ניתוח הזיכרון, אך יש לקחת בחשבון כי הגרסאות השונות משאירות עקבות שונים.
להסרת Trickbot אתה יכול להתייחס לתוכנה מסוימת בשם "malwarebytes" או שעליך להמשיך ידנית, תלוי בגירסת מערכת ההפעלה, שום דבר בלתי אפשרי, אך לא קל.
Trickbot הוא תוכנה זדונית המופצת באמצעות קמפיינים של דיוג או spearphishing ולכן חשוב מאוד לשים לב להודעות שהתקבלו ולאמץ את העיקרון הבריא של "אל תפתח דוא"ל או קובץ חשודים", גם אם לא תמיד קל ליישום.
Trickbot, כמו כל תוכנה זדונית, מנצלת חורים באבטחה של המערכת.
כדי להגן על עצמך, לעיתים די בתצורה הנכונה של המערכות הנמצאות בשימוש, תוך התייחסות מסוימת לשימוש נכון בחשבונות הניהול.
אנו ממליצים גם על שימוש בתוכנות ומערכות המכוסות על ידי תמיכת חברת האם, בפרט בכל הקשור למערכות ההפעלה המהוות בסיס לאבטחה.
השימוש ב"זיהוי ותגובת נקודת קצה "יכול לעזור, כל עוד הצוות מסוגל לטפל בהם.
מידע נוסף:
- https://fraudwatchinternational.com/malware/trickbot-malware-works/
- https://attack.mitre.org/software/S0266/
- https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-...
- https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-repor...
- https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
- https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain...
