TrickBot - это продвинутый банковский троян, который злоумышленники могут использовать для кражи платежных реквизитов у жертв. Он может перенаправить жертву на поддельный банковский кабинет и получить учетные данные, введенные на веб-странице.
Что такое вредоносная программа TrickBot?
TrickBot, он же TrickLoader, представляет собой банковский троян - вредоносную программу, предназначенную для кражи банковских учетных данных. Он нацелен на корпоративных и частных жертв и использует такие методы, как атаки перенаправления. Он манипулирует тем, что жертва видит в браузере, и перенаправляет на подделанную хакерами страницу банковского кабинета.
Как сообщается, TrickBot пытается следовать за ransomware и уже украл миллионы долларов у банков в Соединенных Штатах Америки, Англии, Австралии, Новой Зеландии, Канаде и Германии.
Общее описание вредоносной программы TrickBot
Первые версии этого трояна использовались в основном для атак на корпоративные банковские счета, как и ransomware, нацеленные на конкретную региональную банковскую платформу, используемую американскими банками.
Считается, что вредоносная программа была создана той же командой преступников, которая известна разработкой другого опасного трояна - Dyre, который был активен до 2015 года и, по сообщениям, успешно похитил миллионы долларов для авиакомпании Ryanair. Dyre быстро прекратил свою деятельность в 2015 году после того, как российские власти схватили группу хакеров. Однако эта связь так и не была окончательно доказана.
Есть предположение, что некоторые хакеры из этой группы сумели избежать российских властей и объединились для создания преемника Dyre - TrickBot. В пользу этой версии говорит тот факт, что исходный код TrickBot представляет собой переработанный код Dyre, хотя и модернизированный и доработанный с использованием C++ вместо Dyre, который в основном использовал C.
За время существования TrickBot разработчики вредоносной программы неоднократно модернизировали функциональность вируса, добавляя новые функции и улучшая банковский троян, а также меняя целевые банки, что делает их атаки весьма непредсказуемыми. Среди прочих обновлений TrickBot получил поддержку эксплойта EternalBlue, что позволило ему распространяться в корпоративных сетях. К августу 2016 года вредоносная программа обзавелась функциями кражи электронной почты и истории браузера. В сентябре 2016 года вирус научился красть криптовалюту, вмешиваясь в обычный процесс оплаты и похищая монеты, когда пользователь заполняет личную и платежную информацию на платежном шлюзе, захватывая ценные токены и перенаправляя их на кошелек, принадлежащий хакерам.
Как избежать заражения вирусом TrickBot?
Поскольку вирус часто распространяется в файлах Microsoft Office, для перехода в активную фазу ему необходимы макросы или режим редактирования Microsoft Office. Пока оба макроса деактивированы, а режим редактирования выключен, вирус не представляет опасности для компьютера.
Распространение TrickBot
Троян TrickBot распространяется с помощью вредоносного спама и фишинговых кампаний, но в отличие от ransomware, он работает от ботнета Necurs, который стал чрезвычайно популярным среди злоумышленников, использующих бизнес-модель "вредоносное ПО как услуга".
Злоумышленники обычно пытаются угрозами и запугиванием заставить жертву прочитать письмо и загрузить все вложенные файлы. Наконец, самому трояну удается попасть на машину жертвы через документ Excel, содержащий макрос, запрограммированный на загрузку и запуск исполнения банковского трояна. Однако в некоторых последних кампаниях в электронные письма были включены HTML-вложения. Использование HTML-вложений, запрограммированных на загрузку документов Microsoft Office, помогает избежать обнаружения антивирусными программами. Более того, в самых последних кампаниях злоумышленники начали использовать уловки eFax, обманом заставляя жертв нажимать на VBS-расширения, содержащие вирус.
Заключение
Хитроумные методы атаки, используемые создателями TrickBot, делают этот банковский троян чрезвычайно опасным как для корпоративных, так и для личных жертв, что схоже с поведением ransomware. После заражения обычный человек вряд ли сможет узнать о трояне и определить, что банковский счет, который посещает пользователь, на самом деле является поддельным.