Precies vijf jaar geleden, in oktober 2016, kwamen onze oplossingen voor het eerst in aanraking met een trojan met de naam Trickbot (ook wel bekend als TrickLoader of Trickster). Dit programma, dat toen vooral op thuiscomputers werd aangetroffen, was in de eerste plaats bedoeld om inloggegevens voor online bankieren te stelen. De laatste jaren hebben de makers de banking trojan echter actief omgevormd tot een multifunctionele modulaire tool.
Bovendien is Trickbot nu populair bij groepen van cybercriminelen als leveringsmiddel om malware van derden de bedrijfsinfrastructuur binnen te krijgen. Onlangs meldden nieuwsberichten dat de makers van Trickbot met verschillende nieuwe partners hebben samengewerkt om de malware te gebruiken om bedrijfsinfrastructuur te infecteren met allerlei extra bedreigingen, zoals de Conti-ransomware.
Dergelijk hergebruik kan een extra gevaar vormen voor werknemers van beveiligingscentra van bedrijven en andere cyberdeskundigen. Sommige beveiligingsoplossingen herkennen Trickbot nog steeds als een banking trojan, volgens zijn oorspronkelijke specialiteit. Daarom zouden infosec-specialisten die het detecteren het kunnen zien als een willekeurige dreiging van een thuisgebruiker die per ongeluk het bedrijfsnetwerk is binnengeslopen. In feite kan de aanwezigheid ervan wijzen op iets veel ernstigers: een poging tot ransomware-injectie of zelfs onderdeel van een gerichte cyberspionage-operatie.
Onze experts waren in staat om modules van de trojan te downloaden van een van zijn C&C servers en deze grondig te analyseren.
Wat Trickbot nu allemaal kan
Het hoofddoel van de moderne Trickbot is het binnendringen van en zich verspreiden op lokale netwerken. De exploitanten kunnen het dan gebruiken voor verschillende taken – van het doorverkopen van toegang tot de bedrijfsinfrastructuur aan aanvallers van derden, tot het stelen van gevoelige gegevens. Hieronder leest u wat de malware nu allemaal kan:
- Gebruikersnamen, hashes van wachtwoorden en andere informatie verzamelen, nuttig voor laterale bewegingen in het netwerk uit Active Directory en het register;
- Internetverkeer op de geïnfecteerde computer onderscheppen;
- Apparaten op afstand bedienen via het VNC-protocol;
- Cookies van browsers stelen;
- Inloggegevens uit het register, de databases van diverse toepassingen en configuratiebestanden verkrijgen, evenals privésleutels, SSL-certificaten en gegevensbestanden voor cryptocurrency-wallets stelen;
- Gegevens voor automatisch invullen van browsers onderscheppen, en informatie die gebruikers invoeren in formulieren op websites;
- Bestanden op FTP- en SFTP-servers scannen;
- Schadelijke scripts in webpagina’s embedden;
- Browserverkeer via een lokale proxy herleiden;
- API’s kapen die verantwoordelijk zijn voor de verificatie van de certificaatketen om de verificatieresultaten te vervalsen;
- Outlook-profielgegevens verzamelen, e-mails in Outlook onderscheppen en zo spam versturen;
- Zoeken naar de OWA-service en hier een brute force-aanval op loslaten;
- Low-level toegang tot hardware verkrijgen;
- Toegang bieden tot de computer op hardware-niveau;
- Domeinen op kwetsbaarheden scannen;
- Adressen van SQL-servers vinden en hier zoekopdrachten op uitvoeren;
- Zich verspreiden via de exploits EternalRomance en EternalBlue;
- VPN-verbindingen creëren.
Een gedetailleerde beschrijving van de modules en indicators of compromise vindt u in onze Securelist-post.
Hoe u zich beschermt tegen de Trickbot-trojan
Uit de statistieken blijkt dat de meeste Trickbot-detecties dit jaar werden geregistreerd in de VS, Australië, China, Mexico en Frankrijk. Dit betekent echter niet dat andere regio’s veilig zijn, vooral gezien de bereidheid van de makers om met andere cybercriminelen samen te werken.
Om te voorkomen dat uw bedrijf het slachtoffer wordt van deze trojan, raden we aan alle apparaten die met het internet zijn verbonden te voorzien van een hoogwaardige beveiligingsoplossing. Daarnaast is het een goed idee om gebruik te maken van diensten voor toezicht op cyberdreigingen om verdachte activiteiten binnen de infrastructuur van een bedrijf te detecteren.