Vor genau fünf Jahren, im Oktober 2016, entdeckten unsere Sicherheitslösungen einen Trojaner namens Trickbot (auch bekannt als TrickLoader oder Trickster). Damals wurde der Trojaner überwiegend auf Computern von Privatanwendern eingeschleust und diente dazu Konto- und Zugangsdaten für Online-Banking-Systeme zu stehlen. In den letzten Jahren wurde der Banking-Trojaner von den Entwicklern ständig aktualisiert und verbessert und ist inzwischen ein multifunktionales, modulares Tool.
Aktuell ist Trickbot bei Cybergangs sehr beliebt, da sie den Trojaner verwenden können, um andere Malware in Unternehmensinfrastrukturen einzuschleusen. Vor Kurzem wurde darüber berichtet, dass die Trickbot-Entwickler sich mit einigen neuen Partnern zusammengeschlossen haben, um Malware zur Infizierung der Infrastrukturen von Unternehmen mit allen Arten von Cyberbedrohungen zu nutzen, wie beispielsweise mit der Conti-Ransomware.
Diese Neuausrichtung kann eine zusätzliche Gefahr für Mitarbeiter von IT-Sicherheitszentralen (Security Operations Center, SOC) und für andere Cybersicherheitsexperten darstellen. Manche Sicherheitslösungen klassifizieren Trickbot immer noch als Banking-Trojaner, also nach dem ursprünglichen Zweck der Malware. Aus diesem Grund kann es vorkommen, dass IT-Sicherheitsbeauftragte, die diesen Trojaner entdecken, ihn möglicherweise als irgendeine Bedrohung für Privatanwender betrachten, die aus Versehen in das Unternehmensnetzwerk gelangt ist. Aber die Präsenz des Trojaners kann in diesen Fällen ein weit ernsthafteres Problem darstellen – er kann z. B. für das Einschleusen von Ransomware oder für eine gezielte Cyberspionage verwendet werden.
Unsere Experten ist es gelungen Module des Trojaners von einem seiner Kontroll- und Befehlsserver herunterzuladen und diese sorgfältig zu analysieren.
Was Trickbot inzwischen alles kann
Das Hauptziel der modernen Version von Trickbot besteht darin, in lokale Netzwerke einzudringen und sich darin zu verbreiten. Die Betreiber setzen den Trojaner für mehrere Aufgaben ein – Sie können anderen Malware-Betreibern zur Ausspähung von vertraulichen Daten den Zugang zu Unternehmensinfrastrukturen verschaffen, natürlich nur gegen Bezahlung. Innerhalb des Unternehmensnetzwerkes leistet der Trojaner Folgendes:
- Er kann Benutzernamen, Password-Hashs und andere nützliche Informationen stehlen, die später für Seitwärtsbewegung im Netzwerk vom Active Directory und der Registrierdatenbank aus eingesetzt werden können.
- Netzwerkverkehr auf dem infizierten Computer abfangen.
- Er ermöglicht per VNC-Protokoll Bedienungsoperationen über einen entfernten Rechner auszuführen.
- Cookies von Browsern stehlen.
- Zugangsdaten im Registry, der Datenbank von mehreren Anwendungen und Konfigurationsdateien, extrahieren. Darüber hinaus kann er auch private Schlüssel, SSL-Zertifikate und Datendateien für Krypto-Wallets stehlen.
- Autofill-Daten in Browsern und Informationen, die Benutzer in Online-Formularen angeben, abfangen.
- Dateien auf FTP- und SFTP-Servers scannen.
- Schädliche Skripte in Webseiten einbetten.
- Browser-Traffic über einen Proxy umleiten.
- Die APIs, die für die Zertifikatskettenprüfung zuständig sind, für Zertifikat-Spoofing knacken, d. h. gefälschte Zertifikate als glaubwürdig darstellen.
- Zugangsdaten von Outlook-Profilen sammeln, E-Mails im Outlook abfangen und Spam über den E-Mail-Client schicken.
- Nach der Outlook Web App (OWA) suchen und die App knacken.
- Low-Level-Zugriff auf Hardware bekommen.
- Zugriff auf einen Computer auf Hardware-Ebene verschaffen.
- Schwachstellen bei Domains suchen.
- Die Adressen von SQL-Servern ausfindig machen und darüber Suchanfragen durchführen.
- Sich über der Exploits von EternalRomance und EternalBlue verbreiten.
- VPN-Verbindungen herstellen.
Wenn Sie an einer detaillierten Beschreibung der Module und der Gefährdungsindikatoren interessiert sind, werfen Sie einen Blick auf den Artikel in unserer Securelist.
So können Sie sich vor dem Trickbot-Trojaner schützen
Die Statistiken haben gezeigt, dass dieses Jahr die meisten Trickbot-Vorfälle in den USA, in Australien, China, Mexiko und Frankreich entdeckt wurden. Das heißt allerdings nicht, dass andere Regionen vor dem Trojaner sicher sind, zumal die Entwickler auch mit anderen Cybergangs zusammenarbeiten.
Wir empfehlen alle Geräte, die sich mit dem Internet verbinden können, mit einer hochwertigen Sicherheitslösung zu schützen, um zu vermeiden, dass Ihr Unternehmen zum Opfer des Trojaners wird. Darüber hinaus ist es eine kluge Entscheidung auch einen Überwachungsservice für Cyberbedrohungen in Anspruch zu nehmen, um verdächtige Aktivitäten in der Infrastruktur des Unternehmens rechtzeitig zu entdecken.