Wat maakt het TrickBot-botnet zo gevaarlijk? Naast de banking-trojan Emotet , die inmiddels onschadelijk is gemaakt, en Retefe, vormt ook TrickBot een gevaar voor je computer. TrickBot en het botnet achter de malware hebben experts op het gebied van cyberveiligheid voor een ware uitdaging gesteld.
TrickBot wordt sinds 2016 door cybercriminelen gebruikt om in de computer van andere mensen te infiltreren en zo vertrouwelijke privégegevens te onderscheppen. De slachtoffers van deze cyberaanvallen zijn niet alleen bedrijven, maar ook particulieren. Het bereik en de capaciteit van de malware zijn aanzienlijk gegroeid sinds de ontdekking van het botnet in 2016. De focus ligt niet langer alleen op diefstal van gegevens; TrickBot kan nu ook het netwerkverkeer wijzigen en zich verder verspreiden. Zodra de malware een systeem is binnengedrongen en de computer heeft geïnfecteerd, zet TrickBot een backdoor open voor nog meer malware.
TrickBot is vooral gevaarlijk en schadelijk omdat de trojan kan muteren en door de talloze bijbehorende plug-ins. Net als andere trojans is TrickBot een meester in het verborgen blijven voor slachtoffers. TrickBot kan dus alleen worden gedetecteerd en geëlimineerd door heel goed op te letten en door de beste beveiligingssoftware, zoals Kaspersky Anti-Virus, te gebruiken.
Hoe de banking-trojan zich verspreidt
In eerste instantie krijgt TrickBot meestal toegang tot het systeem via phishingmails. Hierbij worden levensechte nepmails van bekende instanties en bedrijven verstuurd die vaak een bijlage hebben. Slachtoffers van een TrickBot-aanval wordt in de e-mail gevraagd de bijlage of link te openen, waarna het apparaat geïnfecteerd raakt. Met het openen van de bijlagen wordt de malware namelijk gedownload. Een TrickBot-infectie kan bijvoorbeeld ook het gevolg zijn van schadelijke updates of malware die al op het eindapparaat staat. Nadat de malware op de computer staat en deze de gegevens van de gebruiker kan opslaan, is een van zijn belangrijkste doelen zo lang mogelijk onopgemerkt te blijven.
Hoe gaat een TrickBot-aanval in zijn werk?
Bij een TrickBot-aanval worden eerst de Windows-services en de activiteiten van Windows Defender of andere anti-virussoftware beëindigd. Daarna worden diverse methodes ingezet om rechten uit te breiden. De daaruit voortvloeiende beheerdersrechten kunnen weer worden gebruikt door nog meer plug-ins, die de malware automatisch laadt. Daarna bespioneert TrickBot zowel het systeem als de netwerken en verzamelt de trojan gegevens van de gebruiker. De informatie die de malware heeft verzameld, wordt vervolgens doorgestuurd naar extra apparaten of naar de cybercriminelen die achter de aanval zitten.
Wat zijn de gevolgen van de banking-trojan voor het slachtoffer en het eindapparaat?
Het ‘Win 32/TrickBot.AK’-virus slaat gegevens op zonder de toestemming van de gebruiker en bespioneert de gebruiker van het eindapparaat. Een mogelijke manier om aan de gegevens te komen is bijvoorbeeld door nagemaakte dialoogvensters te tonen, die eigenlijk door de malware worden weergegeven. TrickBot zelf registreert geen toetsaanslagen of screenshots. De trojan kan verbinding maken met een externe server en maakt deel uit van een groep geautomatiseerde malware. Zo'n groep wordt ook wel een botnet genoemd. TrickBot heeft geen effect op de prestaties van de laptop en leidt er ook niet toe dat deze niet meer op commando's reageert. TrickBot kan echter wel verantwoordelijk zijn voor een DDoS -aanval (Distributed Denial of Service). In dat geval leidt een groot aantal gerichte aanvragen van een groot aantal computers tot een verstoring van een service. Tot de andere capaciteiten van de TrickBot-malware behoren het downloaden van malware op geïnfecteerde computers, het zichzelf verspreiden en het creëren van aanvalspunten voor hackers.
TrickBot detecteren en banking-trojans verwijderen
Waakzaamheid is vereist om een TrickBot-infectie te signaleren. Mogelijke tekenen van een infectie met de malware zijn bijvoorbeeld ongeautoriseerde pogingen om in te loggen bij online accounts. Slachtoffers van een aanval merken soms dat er een iets in de netwerkinfrastructuur in gewijzigd. Een latere en fatale indicatie van een infectie met de malware kan ook een bankoverschrijving zijn die is uitgevoerd zonder je medeweten. De malware kan zichzelf vermommen als een legitiem computerproces of als een doodgewoon bestand. Hierdoor is deze malware bijna niet op te sporen en het verwijderen van verdacht uitziende bestanden kan onherstelbare schade aan de computer veroorzaken. Omdat TrickBot een trojan is die gegevens steelt, moet de schade zo snel mogelijk hersteld worden. Anti-malwareproducten als die van Kaspersky zijn hiervoor uitstekend geschikt. Zowel de detectie van een TrickBot-infectie als de verwijdering van de banking-trojan zijn extreem tijdrovend.
Credential stuffing en meer: de gevolgen van een TrickBot-aanval
Zoals al eerder is vermeld, probeert TrickBot inloggegevens te stelen en houdt zich dus bezig met wat ook wel credential stuffing wordt genoemd. Credential stuffing beschrijft een methode die door cybercriminelen wordt gebruikt om zich online accounts toe te eigenen. Aanvankelijk richtte de Trickbot-trojan zich vooral op financiële instanties zoals banken. Cybercriminelen krijgen ongeoorloofde toegang tot privérekeningen door persoonlijke gegevens stelen. Die kunnen vervolgens worden gebruikt om bijvoorbeeld bedragen over te schrijven. Naast wachtwoorden en gebruikersnamen kan TrickBot ook toegang krijgen tot de automatisch ingevulde informatie in de browser, en tot de geschiedenis en opgeslagen cookies.
Typische gevolgen van een TrickBot-aanval
Slachtoffers van TrickBot-aanvallen hebben meestal te maken met een reeks typische gevolgen. Hun accounts zijn overgenomen door de cybercriminelen. Als dat is gebeurd, vragen de hackers meestal losgeld voor de vrijgave van de accounts of bestanden. En, last-but-not-least, kan de ransomware zich verspreiden naar andere bestanden op de geïnfecteerde apparaten.
TrickBot bestrijden: De beste bescherming tegen een aanval
- Gebruik professionele anti-virussoftware of een Trojan-scanner.
- Wees voorzichtig bij het lezen van je spammails. Open geen verdachte of dubieus uitziende e-mails of bijlagen. Wijs medewerkers er ook op dat ze onder geen beding toestemming moeten geven voor het activeren van macro's.
- De software op computers moet altijd up-to-date zijn.
- Let goed op tijdens het updaten van software.
- Gebruik officiële providers in plaats van software van derden en weiger extra pakketten tijdens het downloaden.
Ondanks talloze voorzorgsmaatregelen loop je nog altijd risico dat een trojan je computer kan infecteren. Vergeet daarom niet regelmatig een back-up van je gegevens te maken.
TrickBot in combinatie met andere malware
Emotet, TrickBot en Ryuk – een fatale combinatie voor je gegevens
Al het goede komt in drieën. Helaas is dat niet het geval voor de combinatie van Trickbot, Emotet en Ryuk. De combinatie van deze drie malwareprogramma's is bijzonder gevaarlijk. In vergelijking daarmee valt de schade die door een enkele TrickBot-aanval wordt veroorzaakt in het niet. De drie programma’s werken naadloos samen en richten daardoor maximale schade aan. Emotet staat aan de basis van de infectie. Deze malware voert de klassieke taken van een trojan uit en opent de deur voor TrickBot en Ryuk, de echte daders in dit verhaal. Tijdens de volgende stap gebruiken de aanvallers TrickBot om informatie over het geïnfecteerde systeem te verkrijgen en om TrickBot op de best mogelijke manier binnen het netwerk te verspreiden. Bij de laatste stap wordt de cryptotrojan Ryuk in zoveel mogelijk systemen geplaatst en wordt de harde schijf door de ransomware versleuteld. Daarbij worden ook eventuele back-ups van gegevens verwijderd.
TrickBot en IcedID: Een bijzonder efficiënt duo banking-trojans
Dit is niet de enige combinatie waarin TrickBot voorkomt. De combinatie van TrickBot en IcedID is net zo gevaarlijk. De combinatie van deze twee banking-trojans zorgt voor een nog gerichtere aanval op bankgegevens. De IcedID-malware wordt bijvoorbeeld via mailspam naar het slachtoffer gestuurd en geopend. Daarmee begint het downloaden van de TrickBot-malware. TrickBot kan daarna zijn gebruikelijke spionagetaken uitvoeren en uitzoeken welke soort financiële fraude er kan worden gepleegd.
TrickBot en Windows Defender
Malware als TrickBot heeft ondertussen manieren gevonden om detectie door Windows Defender te omzeilen. Maar het bijzondere aan TrickBot is dat deze malware niet alleen onder de radar kan opereren, maar Windows Defender zelfs helemaal kan uitschakelen.
Samenvatting
TrickBot vormt een bedreiging voor je computer door zijn kernactiviteit: het stelen van inloggegevens. Maar ook zijn vermogen tot muteren en de talloze plug-ins die in zijn kielzog meekomen maken deze malware tot een onwelkome gast op je eindapparaat. TrickBot-aanvallen zijn vooral fataal als ze in combinatie met andere malware plaatsvinden. Hierdoor is het nog belangrijker om malware zo snel mogelijk op te sporen met uitstekende beveiligingssoftware en een hoge mate van alertheid. Dit kan voorkomen dat de deur wordt opengezet voor nog meer malware.