Новые трюки трояна Trickbot

За прошедшие пять лет банковский троян Trickbot превратился в многофункциональный инструмент киберпреступников.

Пять лет назад, в октябре 2016 года, наши решения начали сталкиваться с трояном под названием Trickbot (также известен как TrickLoader или Trickster). Тогда он встречался в основном у домашних пользователей и применялся для кражи учетных данных от сервисов онлайн-банкинга. Однако за последние годы создатели этого зловреда развили достаточно бурную деятельность и превратили банковский троян в многофункциональный модульный инструмент.

Более того, теперь Trickbot пользуется популярностью у нескольких преступных группировок в качестве системы доставки сторонних зловредов в инфраструктуру компаний. Недавно в новостях появилась информация о том, что авторы трояна Trickbot активно сотрудничают с рядом новых партнеров, в результате чего зловред используют для доставки в корпоративные сети всевозможных дополнительных угроз, таких, например, как шифровальщик Conti.

Между тем такое перепрофилирование может представлять дополнительную опасность для сотрудников центров мониторинга киберугроз. Некоторые защитные решения до сих пор распознают Trickbot по «первой специальности», как банковский троян. Так что при его обнаружении безопасники могут не обратить на него особого внимания, сочтя просто случайно попавшей в корпоративную сеть «бытовой» угрозой. В то время как на самом деле его присутствие в сети может быть признаком более серьезной кибератаки — попыткой внедрить шифровальщика или даже частью целевой кибершпионской операции.

Нашим экспертам удалось скачать с одного из командных серверов трояна доступные модули и тщательно проанализировать их.

Что теперь умеет Trickbot

Основная цель современного варианта Trickbot — проникновение и распространение в локальных сетях. Далее операторы могут использовать его для решения множества разных задач — от предоставления захваченной площадки сторонним злоумышленникам до кражи конфиденциальных и данных. Вот что теперь умеет этот зловред:

  • добывать из Active Directory и реестра имена пользователей, хеши паролей и другую информацию для горизонтального распространения в сети;
  • перехватывать веб-трафик на зараженном компьютере;
  • обеспечивать удаленное управление устройством через протокол VNC;
  • воровать файлы cookie из браузеров;
  • красть учетные данные, сохраненные в реестре, базах данных различных приложений, конфигурационных файлах, а также закрытые ключи, SSL-сертификаты и файлы данных криптовалютных кошельков;
  • перехватывать информацию из механизмов автозаполнения форм в веб-браузерах;
  • перехватывать информацию из форм для ввода данных на банковских веб-сайтах;
  • внедрять вредоносные скрипты в веб-страницы;
  • перенаправить трафик браузера через локальный прокси;
  • перехватывать API, отвечающие за проверку цепочки сертификатов, чтобы подменить результаты проверки;
  • собирать учетные данные из профиля Outlook, перехватывать электронные письма в Outlook и рассылать через него спам;
  • искать сервис OWA и атаковать его при помощи брутфорса;
  • получать низкоуровневый доступ к аппаратному обеспечению;
  • предоставлять доступ к компьютеру на аппаратном уровне;
  • сканировать домены на уязвимости;
  • находить адреса SQL-серверов и выполнять поисковые запросы по ним;
  • распространяться через эксплойты EternalRomance и EternalBlue;
  • создавать VPN-подключения.

Подробное описание модулей и индикаторы компрометации можно найти в посте на сайте Securelist.

Как защититься от трояна Trickbot

По статистике, большая часть детектирований трояна Trickbot в этом году была зарегистрирована в США, Австралии, Китае, Мексике и Франции. Однако это не значит, что в остальных регионах его не используют, особенно учитывая готовность авторов зловреда сотрудничать с другими злоумышленниками.

Для того чтобы ваша компания не стала жертвой этого трояна, мы рекомендуем снабжать каждое устройство, имеющее выход в Интернет, качественным защитным решением. Кроме того, для выявления подозрительной активности в инфраструктуре компании имеет смысл пользоваться сервисами мониторинга киберугроз.

Советы