Az ESET egy globális művelet keretében harcol a Trickbot ellen

2020.10.14.
 
Adverticum Zrt.

Az ESET kutatói is részt vesznek abban a globális összefogásban, amelynek célja a Trickbot megállítása, amely 2016-os működése óta több mint egymillió számítógépet fertőzött meg. Az ESET a Microsofttal, a Lumen’s Black Lotus Labs Threat Research-csel, az NTT-vel és további partnerekkel összefogva, technikai elemzéssel, statisztikai információkkal, illetve ismert parancs- és vezérlőszerverek domain- és IP címeivel járult hozzá a Trickbot elleni közös fellépéshez. A Trickbot a megfertőzött számítógépek hitelesítő adatainak ellopásáról ismert, az utóbbi időben pedig még súlyosabb támadások, például zsarolóprogramok terjesztő eszközeként működött.

A botok vagy webes robotok automatizált kártékony programok, amelyek hálózati blokkokat ellenőriznek, és megtámadják a biztonsági résekkel rendelkező számítógépeket. Ez lehetővé teszi a hackereknek, hogy egyszerre számos számítógép felett átvegyék az irányítást, és botok (más néven zombik) hálózatává, azaz botnetté alakítsák őket, a felhasználók tudta nélkül. 

 

Az ESET kutatói a 2016 végén történt első észlelés óta folyamatosan követik a Trickbot botnet tevékenységét. Csak 2020-ban az ESET botnet nyomkövető platformja több mint 125 ezer kártékony variánst vizsgált meg, továbbá 40 ezer olyan konfigurációs fájlt töltött le és dekódolt, amelyeket különböző Trickbot modulok használtak, így széleskörű rálátást biztosított a botnet által használt különböző C&C vezérlőszerverekre.

 

„A nyomon követéssel töltött évek során rendszeresen észleltük a Trickbot támadásait, amely az egyik legnagyobb és leghosszabb életű botnetté vált. A Trickbot az egyik legelterjedtebb banki adatokat lopó rosszindulatú programcsalád, ez a kártevő világszerte fenyegetést jelent az internetfelhasználók számára” – magyarázta Jean-Ian Boutin, az ESET fenyegetéskutatási vezetője.

 

Eddigi működése során sokféleképpen terjesztették a kártevőt. Az utóbbi időben gyakori volt az a mintázat, hogy a Trickbot olyan rendszerekbe tört be, amelyeket már egyébként is kompromittált egy másik nagy botnet, az Emotet. Korábban a Trickbot kártevőt főként banki trójai vírusként használták az üzemeltetői, hogy az online bankfiókokból lopjon hitelesítő adatokat, és illegális átutalásokat hajtson végre. 

 

Az ESET által észlelt Trickbot-tevékenységek világszerte 2019. októbere és 2020. októbere között

 

 

A platformhoz kifejlesztett egyik legrégebbi bővítmény lehetővé teszi a Trickbot számára a webinjekciókat (webinjection), vagyis azt a technikát, amellyel a rosszindulatú programok dinamikusan változtatni tudnak azon, hogy milyen felület jelenjen meg egy kompromittált rendszer felhasználója előtt bizonyos webhelyek látogatása során. A Trickbot amiatt is különösen sokoldalú, hogy a tevékenységi köre könnyen változtatható a bővítményeinek segítségével. Az ESET kutatói a nyomon követés során 28 különböző ilyen bővítményt gyűjtöttek be és vizsgáltak meg. Ezek közül vannak, amelyek a böngészők, e-mail fiókok és alkalmazások jelszavainak begyűjtésére szakosodtak, míg mások képesek a hálózati forgalom módosítására, illetve a bővítmények továbbterjesztésére. 

 

„A Trickbot-kampányok figyelemmel kísérése során több tízezer különböző konfigurációs fájlt gyűjtöttünk össze, amelyeknek köszönhetően megtudtuk, pontosan milyen webhelyeket céloznak a Trickbot üzemeltetői. A megcélzott URL-ek többnyire pénzügyi intézményekhez tartoznak” – tette hozzá Boutin. "Azért jelent különösen nagy kihívást ezt megállítani, mert különféle beépített tartalék mechanizmusokkal rendelkezik, és a kártevő kapcsolódása a földalatti kiberbűnözés kifejezetten aktív szereplőihez rendkívül összetetté teszi az egész műveletet" – összegezte.

 

A Trickbothoz kapcsolódó további technikai részletek az “ESET takes part in global operation to disrupt Trickbot” című angol nyelvű blogposztban olvashatók a WeLiveSecurity oldalán.