Was macht das TrickBot-Botnetz so gefährlich? Neben den Bank-Trojanern Emotet, der inzwischen unschädlich gemacht werden konnte und Retefe, ist auch TrickBot eine Gefahr für Ihren Rechner. TrickBot und das hinter der Malware stehenden Botnet, wie es im Englischen genannt wird, stellen eine Herausforderung für Cybersecurity-Spezialisten dar.
TrickBot wird seit 2016 von Cyberkriminellen auf fremden Computern eingeschleust, um vertrauliche private Daten auszuspähen. Dabei zählen zu den Opfern dieser Cyber-Angriffe nicht nur Unternehmen sondern auch Privatpersonen. Der Aufgabenbereich und die Fähigkeiten der Schadsoftware sind seit seiner Entdeckung im Jahr 2016 erheblich gewachsen. Dabei steht mittlerweile nicht mehr nur der Diebstahl von Daten im Vordergrund, TrickBot ist mittlerweile auch in der Lage den Netzwerkverkehr zu ändern und kann sich selbst immer weiterverbreiten. Sobald die Malware es in ein System geschafft hat und eine Infizierung des Rechners vorliegt, öffnet TrickBot die Hintertür für weitere Schadprogramme.
TrickBot ist besonders aufgrund der Wandelbarkeit und der zahlreichen Plugins, die es mittlerweile mit sich bringt, gefährlich und schadhaft. Wie für Trojaner Malware üblich, ist TrickBot ein Meister darin, sich vor seinem Opfer zu verbergen. Es kann somit nur durch hohe Aufmerksamkeit und den Einsatz bester Sicherheitssoftware, wie zum Beispiel Kaspersky Anti-Virus ausfindig gemacht und beseitigt werden.
So verbreitet sich der Banking Trojaner TrickBot
TrickBot fand zu Beginn häufig durch Phishing Mails einen Weg ins System. Dabei werden täuschend echt gefälschte E-Mails von wohlbekannten Institutionen und Unternehmen verschickt, welche häufig über einen Anhang verfügen. Opfer eines TrickBot Angriffs werden in der Mail aufgefordert, den Anhang beziehungsweise den Link zu öffnen, was zur Infektion des Geräts führt. Das Öffnen der Anhänge veranlasst das Herunterladen der Malware. Eine TrickBot Infektion kann aber beispielsweise auch durch schadhafte Updates oder durch Malware, welche sich bereits am Endgerät befindet, vorkommen. Hat es die Malware erst auf den Rechner geschafft und ist in der Lage Daten des Nutzers zu speichern, so ist es ein wesentliches Ziel möglichst lange unentdeckt zu bleiben.
Wie funktioniert ein TrickBot-Angriff?
Bei einem TrickBot-Angriff werden zunächst die Windows-Dienste und die Aktivtäten des Windows Defenders oder weiterer Antivirus-Software beendet. Zur Privilegienerweiterung werden im Weiteren diverse Methoden verwendet. Die daraus entstehenden Administrativen Rechte können dann von den weiteren Plugins genutzt werden, welche die Schadsoftware automatisch lädt. Anschließend werden sowohl das System als auch die Netzwerke durch TrickBot ausspioniert und Daten des Benutzers werden gesammelt. Die von der Malware zusammengetragenen Informationen werden im Folgenden an Externe Geräte, beziehungsweise an die Cyberkriminellen, welche hinter dem Angriff stecken, weitergeleitet.
Welche Folgen hat der Banking Trojaner für Opfer und Endgerät?
Der Virus „Win 32/TrickBot.AK“ sorgt für die Speicherung von Daten, ohne das die Zustimmung des Nutzers notwendig ist und spioniert den Nutzer des Endgeräts aus. Ein möglicher Weg, um an die Daten heranzukommen kann zum Beispiel durch die Anzeige von gefälschten Dialog Feldern, welche aufgrund des Virus angezeigt werden, sein. TrickBot selbst speichert keine Tastenanschläge oder zeichnet Screenshots des Bildschirms auf. Der Virus ist in der Lage die Verbindung zu einem Remote Server herzustellen und gehört einer Gruppe automatisierter Schadprogramme an, dem sogenannten Botnetz. Der Virus hat keinen Einfluss auf die Leistung des Laptops und führt auch nicht dazu, dass dieser auf Befehle unreaktiv wird. TrickBot kann jedoch für eine DDoS-Attacke (Distributed-Denial-of-Service) verantwortlich gemacht werden. Dabei führt eine Vielzahl an gezielten Anfragen von einer großen Zahl an Rechnern zu einer Dienstblockade. Weitere Fähigkeiten der TrickBot Malware sind das Herunterladen von Schadprogramme auf infizierten Rechnern, die eigene Verbreitung und das Schaffen von Angriffspunkten für Hacker.
TrickBot erkennen & Banking Trojaner entfernen
Um eine TrickBot Infektion festzustellen ist Achtsamkeit gefragt. Mögliche Zeichen für eine Infektion mit der Malware können zum Beispiel unautorisierte Anmeldeversuche bei Online Accounts sein. Opfer eines Angriffs, werden teilweise durch eine Veränderung der Netzwerkinfrastruktur aufmerksam. Ein später und fataler Hinweis für eine Infektion mit der Malware, kann auch eine Überweisung, welche ohne Ihr Zutun durchgeführt wurde, sein. Der Virus selbst kann sich als legitimer Computerprozess oder gewöhnliche Datei tarnen. Augenscheinlich ist die Malware somit praktisch nicht aufzufinden und dass Löschen von verdächtig wirkenden Dateien kann eine irreparable Schädigung des Rechners zur Folge haben. Da TrickBot ein datenstehlender Trojaner ist, sollte mit der Schadensbehebung aber ehestmöglich begonnen werden. Anti-Malware Produkte, wie jene von Kaspersky stellen dafür die optimale Möglichkeit dar. Sowohl das Erkennen einer TrickBot Infektion ebenso wie die Entfernung des Banking Trojaners gestaltet sich äußerst aufwendig.
Credential Stuffing und Co. – die Folgen eines TrickBot-Angriffs
TrickBot zielt wie bereits erwähnt darauf ab, Anmeldedaten zu stehlen und betreibt somit Credential Stuffing, wie es im Englischen bezeichnet wird. Credential Stuffing beschreibt eine Methode, die Cyberkriminelle anwenden, um sich Online Accounts zu eigen zu machen. Besonders zu Beginn galten finanzielle Einrichtungen, wie zum Beispiel Banken als vorrangiges Ziel des Banking Trojaner TrickBot. Cyberkriminelle erlangen durch das Stehlen privater Anmeldeinformationen unautorisierten Zugriff auf persönliche Konten. Dadurch können dann zum Beispiel Überweisungen getätigt werden. Zusätzlich zu Passwörtern und Benutzernamen ist TrickBot auch in der Lage Zugriff auf die Autofill-Informationen des Browsers sowie dessen Historie und den gespeicherten Cookies zu erlangen.
Typische Folgen eines TrickBot-Angriffs
Opfer von TrickBot-Angriffen haben meist mit typischen Folgen zu kämpfen. Einerseits werden ihre Accounts von den Cyberkriminellen übernommen. Ist das Geschehen, fordern die Hacker meist ein Lösegeld für die Freigabe der Accounts oder Dateien. Zu guter Letzt kann sich Ransomware auf andere Dateien auf den infizierten Geräten ausweiten.
TrickBot-Bekämpfung – Wie Sie sich gegen einen Angriff bestmöglich schützen
- Nutzen Sie eine professionelle Antivirus-Software beziehungsweise einen Trojaner Scanner.
- Seien Sie achtsam bei der Durchsicht von Spam E-Mails. Verzichten Sie auf das Öffnen von verdächtig oder unseriös aussehender E-Mails beziehungsweise deren Anhängen. Weisen Sie auch Mitarbeiterinnen und Mitarbeiter darauf hin, dass sie keinesfalls ihre Zustimmung zur Aktivierung von Makros geben dürfen.
- Die auf den Rechnern befindliche Software sollte stets auf dem aktuellen Stand
- Seien Sie aufmerksam bei der Aktualisierung von Software.
- Greifen Sie auf offizielle Anbieter anstelle von Drittanbietern zurück für Software und lehnen Sie Zusatzpakete im Zuge des Downloads ab.
Trotz unzähliger Vorsichtsmaßnahmen besteht immer ein Restrisiko und es kann zum Befall durch einen Trojaner kommen. Vernachlässigen Sie daher die regelmäßige Datensicherung nicht.
TrickBot in Kombination mit anderer Malware
Emotet, TrickBot und Ryuk – eine fatale Kombination für Ihre Daten
Alle guten Dinge sind Drei – dies trifft bei der Kombination aus Trickbot, Emotet und Ryuk wohl kaum zu. Die Kombination dieser drei Schadprogramme ist besonders gefährlich und lässt den Schaden, der bei einem einzelnen TrickBot Angriff angerichtet wird, geradezu harmlos erscheinen. Dabei greifen die drei Programme fließend ineinander und maximieren so den Schaden. Emotet stellt den Beginn des Befalls dar und führt die klassischen Aufgaben des Trojaners aus, womit es TrickBot und Ryuk und somit den Tätern Tür und Tor öffnet. TrickBot wird im nächsten Schritt von den Angreifern dazu genutzt, um Informationen über das infizierte System zu erlangen und sich bestmöglich im Netzwerk zu verteilen. Im letzten Schritt wird der Krypto-Trojaner Ryuk in möglichst vielen Systemen abgelegt und verschlüsselt, entsprechend der Funktion von Ransomware, die Festplatte. Zudem werden auch gefundene Datensicherungen gelöscht.
TrickBot und IcedID – ein besonders effizientes Banking Trojaner-Gespann
Aber dies ist nicht die einzige Verbindung in der TrickBot auftaucht. Eine ebenfalls gefährliche Kombination existiert aus TrickBot und IcedID. Die Verbindung der beiden Banking Trojaner, sorgt für einen noch gezielteren Angriff auf Bankdaten. Dabei wird die IcedID Malware zum Beispiel mittels Malspam an das Opfer übertragen und geöffnet. Dadurch startet es den Download der TrickBot Malware. TrickBot kann dann seine üblichen Spionage-Aufgaben ausführen und herausfinden, welche Art von Finanz-Betrug durchgeführt werden sollte.
TrickBot und der Windows Defender
Malware wie TrickBot, hat mittlerweile Wege gefunden, um einer Entlarvung durch den Windows Defender zu umgehen. Das Besondere an TrickBot ist jedoch, dass er nicht nur in der Lage ist abseits des Radars zu agieren, sondern sogar so weit geht, dass er den Windows Defender zur Gänze untauglich macht.
Fazit
TrickBot stellt aufgrund seiner Kernaktivität - dem Stehlen von Anmeldedaten - eine Gefahr für Ihren Rechner dar. Zudem macht ihn aber auch seine Wandelbarkeit und die zahlreichen Plugins, die er mit sich bringt, zu einem unbeliebten Gast auf dem Endgerät. Besonders fatal sind TrickBot-Angriffe, wenn sie in Verbindung mit weiterer Malware auftreten. Dies macht es umso wichtiger, die Malware ehestmöglich durch eine ausgezeichnete Sicherheitssoftware und hohe Aufmerksamkeit aufzuspüren. Somit kann verhindert werden, dass Tür und Tor, für weitere Schadprogramme geöffnet werden.