Onderzoekers van ESET hebben deelgenomen aan een wereldwijde operatie om Trickbot te verstoren. Sinds 2016 heeft het botnet meer dan een miljoen computers geïnfecteerd. Samen met de partners Microsoft, Lumen's Black Lotus Labs Threat Research, NTT en anderen, kon de operatie invloed hebben op Trickbot omdat zijn commando- en controleservers zo konden afgetapt worden. ESET heeft bijgedragen aan de inspanning met technische analyse, statistische informatie en gekende ‘command and control’ server-domeinnamen en IP's.

Trickbot steelt inloggegevens en heeft onlangs ransomware uitgerold; met technische analyse droeg ESET Research bij aan de inspanning

Trickbot staat bekend om het stelen van inloggegevens van gecompromitteerde computers en wordt het vooral gezien als een afleveringsmechanisme voor nog meer schadelijke aanvallen, zoals ransomware.

ESET Research volgt die activiteiten sinds de eerste detectie, eind 2016. Alleen al in 2020 analyseerde het botnet-trackerplatform van ESET meer dan 125.000 kwaadaardige samples en downloadde en ontsleutelde meer dan 40.000 configuratiebestanden die door de verschillende Trickbot-modules gebruikt werden. Dit gaf een uitstekend beeld van de verschillende C & C-servers die door het botnet gebruikt worden.

“Over de jaren hebben we het gevolgd en Trickbot-compromissen op een gestage manier gerapporteerd. Het is dus wel een van de grootste en langstlevende botnets is die er zijn. Trickbot is een van de malwarefamilies die in het bankwezen het meest voorkomen en deze malwarestam vormt een bedreiging voor internetgebruikers wereldwijd ”, aldus Jean-Ian Boutin, hoofd Threat Research bij ESET.

“Sinds zijn bestaan werd deze malware op verschillende wijzen verspreid. Onlangs hebben we vaak een ketting waargenomen: Trickbot wordt gedropt op systemen die al door Emotet, een ander groot botnet, gecompromitteerd zijn. In het verleden werd Trickbot-malware door zijn operatoren voornamelijk gebruikt als een trojaan voor het bankwezen, waarbij inloggegevens van online bankrekeningen gestolen werden en frauduleuze overschrijvingen werden geprobeerd.

Wereldwijde Trickbot-detecties door ESET-telemetrie tussen oktober 2019 en oktober 2020

Een van de oudste plug-ins voor het platform ontwikkeld, stelt Trickbot in staat webinjecties te gebruiken. Dit is een techniek waarmee malware dynamisch kan veranderen wat de gebruiker van een gecompromitteerd systeem ziet als hij specifieke websites bezoekt. “Door onze Trickbot-campagnes te controleren, hebben we tienduizenden verschillende configuratiebestanden verzameld, zodat we weten welke websites het doelwit waren van de Trickbot-operatoren. De beoogde URL’s behoren meestal toe aan financiële instellingen ”, verduidelijkt Boutin.

“Het is een grote uitdaging om deze ongrijpbare dreiging te ontwrichten, daar het over verschillende terugvalmechanismen beschikt en de onderlinge verbinding met andere zeer actieve, clandestiene cybercriminelen maakt de hele operatie bijzonder complex”, besluit Boutin.

Voor meer technische details over Trickbot, lees de volledige blogpost “ESET takes part in global operation to disrupt Trickbot” op WeLiveSecurity https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/

Volg zeker ook ESET Research on Twitter voor het laatste nieuws van ESET Research.

Bezoek voor meer informatie over het aanbod van ESET https://www.eset.com/be-nl/

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here