Trickbot Malware heeft nieuwe trucs in petto: Coronavirus-thema-voorbeelden dwazen beveiligingsproducten en richten zich op telecommunicatiebedrijven

Trickbot Coronavirus-Themed Samples

In 2016 begon Trickbot zijn leven als een eenvoudige banktrojan, maar al snel werd duidelijk dat het veel meer was dan dat. Op dit moment, bijna vier jaar later, is het waarschijnlijk veilig om te zeggen dat het de meest gebruikte malwarefamilie ter wereld is, en niets wijst erop dat cybercriminelen zich er binnenkort van zullen afkeren.

De belangrijkste aantrekkingskracht ligt in de veelzijdigheid, die te danken is aan het modulaire ontwerp. Malwaremakers kunnen plug-ins ontwikkelen en toevoegen en de trojan eenvoudig een groot aantal taken laten uitvoeren. Ondertussen kan Trickbot, met een paar aanpassingen, heimelijker en uiterst moeilijk te verwijderen worden. Recente voorbeelden die door beveiligingsonderzoekers zijn ontdekt, laten zien waarom cybercriminelen er zo dol op zijn.

Trickbot-voorbeelden gebruiken de paniek rond de uitbraak van het coronavirus om beveiligingsoplossingen te omzeilen

Trickbot gebruikt, net als veel andere malwarefamilies, de huidige coronaviruspandemie in haar campagnes. In tegenstelling tot andere bendes gebruiken de Trickbot-operators de uitbraak echter niet om slachtoffers voor de gek te houden door een bestand te openen of op een link te klikken. Deze keer speelt het coronavirus een rol bij het voor de gek houden van de computer.

Volgens beveiligingsnieuwswebsite Bleeping Computer hebben criminelen onlangs wijzigingen aangebracht in de crypter van de malware - een programma dat is ontworpen om de code van het uitvoerbare bestand te versleutelen en legitiem te laten lijken. Onderzoekers doorzochten de eigenschappen van de nieuwe bestanden en kwamen erachter dat strings uit Coronavirus-nieuwsberichten in velden als 'Bestandsbeschrijving', 'Productnaam' en 'Copyright' waren geplaatst.

Dit lijkt een vreemde zet. De trieste waarheid is tenslotte dat het onwaarschijnlijk is dat reguliere gebruikers een onbekend bestand in zoveel details onderzoeken voordat ze het starten, en zelfs als ze dat wel deden, is de kans groot dat ze in de war raken door een eigenschappenpagina die er zo uitziet. Er zit echter een methode achter dit alles.

Vitali Kremez van SentinelLabs vertelde Bleeping Computer dat het hoogstwaarschijnlijk een detectie-ontwijkingstechniek is. Blijkbaar hebben Trickbot-operators het in het verleden gebruikt en het lijkt vooral effectief te zijn tegen beveiligingsoplossingen die afhankelijk zijn van kunstmatige intelligentie en machine learning.

Deze nieuwe toevoegingen suggereren dat de operators van Trickbot vastbesloten zijn om hun doelen met succes in gevaar te brengen. Dit wordt trouwens ook ondersteund door niet-gerelateerd onderzoek dat eerder deze maand door Bitdefender is uitgevoerd.

Trickbot valt doelen aan via RDP

De onderzoekers van Bitdefender volgden het gedrag van Trickbot toen ze eind januari merkten dat de boeven een update pushten. Er was een nieuw model dat de experts nog niet eerder hadden gezien. Een deel van de functionaliteit werkte niet correct, wat aantoonde dat de update nog steeds in uitvoering was, maar desondanks slaagde het erin om experts een idee te geven van wat de toekomstplannen van de boeven zouden kunnen zijn.

De nieuwe module wordt samen met een configuratiebestand gedownload van een van de vele beschikbare Command & Control (C & C) -servers na een succesvolle infectie. Trickbot ontvangt een lijst met doelen en de eerste taak is om te zien of hun Remote Desktop Protocol (RDP) -services zijn ingeschakeld. Als een doelwit een open RDP heeft, wordt de naam via een POST-verzoek teruggestuurd naar de C&C. De server reageert met een verzameling gebruikersnamen en wachtwoorden die Trickbot gebruikt om te proberen de toegang tot de beoogde organisatie op een brute manier binnen te dringen.

Het is moeilijk te zeggen of de nieuwe module al in het wild is gebruikt. Op basis van de lijst met doelen zag de onderzoeker van Bitdefender echter dat het binnenkort zou kunnen worden gelanceerd tegen telecommunicatiebedrijven in de VS en Hong Kong. De boeven zouden ook hun zinnen kunnen zetten op bedrijven in de financiële sector en organisaties die zich bezighouden met onderwijs en wetenschappelijk onderzoek.

De twee nieuwe toevoegingen vertegenwoordigen de laatste in een zeer lange reeks updates die de operators van Trickbot aan hun malware hebben toegevoegd. We kunnen alleen raden in welke richting de trojan gaat, maar we kunnen er vrij zeker van zijn dat het een favoriet zal blijven bij de cybercriminelen.

March 19, 2020

Laat een antwoord achter