trojans

Nieuwe trucs van de Trickbot-trojan

De afgelopen vijf jaar heeft de banking trojan Trickbot zich tot een multifunctionele tool voor cybercriminelen ontwikkeld.

Hugh Aver
oktober 26, 2021

Precies vijf jaar geleden, in oktober 2016, kwamen onze oplossingen voor het eerst in aanraking met een trojan met de naam Trickbot (ook wel bekend als TrickLoader of Trickster). Dit programma, dat toen vooral op thuiscomputers werd aangetroffen, was in de eerste plaats bedoeld om inloggegevens voor online bankieren te stelen. De laatste jaren hebben de makers de banking trojan echter actief omgevormd tot een multifunctionele modulaire tool.

Bovendien is Trickbot nu populair bij groepen van cybercriminelen als leveringsmiddel om malware van derden de bedrijfsinfrastructuur binnen te krijgen. Onlangs meldden nieuwsberichten dat de makers van Trickbot met verschillende nieuwe partners hebben samengewerkt om de malware te gebruiken om bedrijfsinfrastructuur te infecteren met allerlei extra bedreigingen, zoals de Conti-ransomware.

Dergelijk hergebruik kan een extra gevaar vormen voor werknemers van beveiligingscentra van bedrijven en andere cyberdeskundigen. Sommige beveiligingsoplossingen herkennen Trickbot nog steeds als een banking trojan, volgens zijn oorspronkelijke specialiteit. Daarom zouden infosec-specialisten die het detecteren het kunnen zien als een willekeurige dreiging van een thuisgebruiker die per ongeluk het bedrijfsnetwerk is binnengeslopen. In feite kan de aanwezigheid ervan wijzen op iets veel ernstigers: een poging tot ransomware-injectie of zelfs onderdeel van een gerichte cyberspionage-operatie.

Onze experts waren in staat om modules van de trojan te downloaden van een van zijn C&C servers en deze grondig te analyseren.

Wat Trickbot nu allemaal kan

Het hoofddoel van de moderne Trickbot is het binnendringen van en zich verspreiden op lokale netwerken. De exploitanten kunnen het dan gebruiken voor verschillende taken – van het doorverkopen van toegang tot de bedrijfsinfrastructuur aan aanvallers van derden, tot het stelen van gevoelige gegevens. Hieronder leest u wat de malware nu allemaal kan:

Gebruikersnamen, hashes van wachtwoorden en andere informatie verzamelen, nuttig voor laterale bewegingen in het netwerk uit Active Directory en het register;
Internetverkeer op de geïnfecteerde computer onderscheppen;
Apparaten op afstand bedienen via het VNC-protocol;
Cookies van browsers stelen;
Inloggegevens uit het register, de databases van diverse toepassingen en configuratiebestanden verkrijgen, evenals privésleutels, SSL-certificaten en gegevensbestanden voor cryptocurrency-wallets stelen;
Gegevens voor automatisch invullen van browsers onderscheppen, en informatie die gebruikers invoeren in formulieren op websites;
Bestanden op FTP- en SFTP-servers scannen;
Schadelijke scripts in webpagina’s embedden;
Browserverkeer via een lokale proxy herleiden;
API’s kapen die verantwoordelijk zijn voor de verificatie van de certificaatketen om de verificatieresultaten te vervalsen;
Outlook-profielgegevens verzamelen, e-mails in Outlook onderscheppen en zo spam versturen;
Zoeken naar de OWA-service en hier een brute force-aanval op loslaten;
Low-level toegang tot hardware verkrijgen;
Toegang bieden tot de computer op hardware-niveau;
Domeinen op kwetsbaarheden scannen;
Adressen van SQL-servers vinden en hier zoekopdrachten op uitvoeren;
Zich verspreiden via de exploits EternalRomance en EternalBlue;
VPN-verbindingen creëren.

Een gedetailleerde beschrijving van de modules en indicators of compromise vindt u in onze Securelist-post.

Hoe u zich beschermt tegen de Trickbot-trojan

Uit de statistieken blijkt dat de meeste Trickbot-detecties dit jaar werden geregistreerd in de VS, Australië, China, Mexico en Frankrijk. Dit betekent echter niet dat andere regio’s veilig zijn, vooral gezien de bereidheid van de makers om met andere cybercriminelen samen te werken.

Om te voorkomen dat uw bedrijf het slachtoffer wordt van deze trojan, raden we aan alle apparaten die met het internet zijn verbonden te voorzien van een hoogwaardige beveiligingsoplossing. Daarnaast is het een goed idee om gebruik te maken van diensten voor toezicht op cyberdreigingen om verdachte activiteiten binnen de infrastructuur van een bedrijf te detecteren.

Hoe u een beveiligingsanalist een vraag stelt

De dienst ‘Ask the Analyst’ van Kaspersky zal de toegang tot onze expertise vergemakkelijken.

Privacy & kinderen

TARGETED SECURITY SOLUTIONS

Enterprise solutions

Nieuwe trucs van de Trickbot-trojan

Wat Trickbot nu allemaal kan

Hoe u zich beschermt tegen de Trickbot-trojan

Download nooit software via YouTube-links

NullMixer: meerdere soorten malware in één

Hoe u een beveiligingsanalist een vraag stelt

Tips

Snelkoppelingen en Siri instellen in Kaspersky for iOS

De incognito-mythe: hoe privé browsen echt werkt

Overstappen naar Kaspersky: een stapsgewijze migratiegids

Navigeren door de risico’s van online daten

Meld u aan om onze headlines in uw inbox te ontvangen

Oplossingen voor thuis

Bedrijven

Bedrijven

Bedrijven

Securelist

Eugene Personal Blog