TrickBot: як працює небезпечний банківський троян і чому його важко зупинити

TrickBot – один із найнебезпечніших банківських троянів останнього десятиліття. Він поширюється через фішингові листи, шкідливі вкладення та експлойти в системах, проникаючи як у домашні ПК, так і у корпоративні мережі. Модульна структура робить його особливо гнучким: різні модулі відповідають за викрадення паролів, доступів до інтернет-банкінгу, розповсюдження в локальній мережі та доставку інших шкідливих програм.  У статті розглянуто основні методи поширення, ознаки зараження, потенційні ризики для користувачів і компаній, а також поради з кіберзахисту, які допоможуть вчасно виявити й заблокувати троян.

Що таке шкідливе програмне забезпечення TrickBot?

TrickBot (або «TrickLoader») – це відомий банківський троян, який атакує як підприємства, так і споживачів, щоб отримати їхні дані, такі як банківська інформація, облікові дані, особиста інформація (PII) і навіть біткоїни. Як високомодульне шкідливе програмне забезпечення, воно може адаптуватися до будь-якого середовища чи мережі, в якій воно опиняється.

Численні трюки, які цей троян виконав з моменту свого відкриття у 2016 році, пояснюються креативністю та спритністю його розробників. Окрім крадіжки, TrickBot отримав можливості для латерального проникнення та закріплення в ураженій мережі за допомогою експлойтів, поширення своїх копій через спільні ресурси Server Message Block (SMB), розповсюдження інших шкідливих програм, таких як програма-вимагач Ryuk, та пошуку документів і медіафайлів на заражених комп’ютерах.

Як поширюється TrickBot?

Як і Emotet, TrickBot потрапляє на уражені системи у вигляді вбудованих URL-адрес або заражених вкладень у шкідливих спам- кампаніях (malspam).

Після запуску TrickBot поширюється латерально в мережі, експлуатуючи вразливість SMB за допомогою одного з трьох широко відомих експлойтів NSA : EternalBlue, EternalRomance або EternalChampion.

Емотет також може втратити Трикбота як частину вторинної інфекції.

Яка історія TrickBot?

TrickBot починався як викрадач банківської інформації, але нічого простого в ньому не було — навіть з самого початку.

Коли дослідники вперше виявили TrickBot у 2016 році, він уже мав атрибути, яких зазвичай не видно у «простих» викрадачах облікових даних. Спочатку він був спрямований на фінансові послуги та користувачів, щоб отримати банківські дані. Він також розповсюджує інші шкідливі програми.

TrickBot має репутацію наступника Dyreza, ще одного викрадача облікових даних, який вперше з’явився у 2014 році. TrickBot мав спільні риси з Dyreza, такі як певні змінні з подібними значеннями та спосіб, яким творці TrickBot налаштували сервери командування та управління (C&C), з якими TrickBot взаємодіє. Це змусило багатьох дослідників вважати, що особа або група, яка створила Dyreza, також створила TrickBot.

У 2017 році розробники включили до TrickBot модуль хробака, який, на нашу думку, був натхненний успішними кампаніями програм-вимагачів із червоподібними можливостями, такими як WannaCry та EternalPetya. Розробники також додали модуль для збору облікових даних Outlook. Чому Outlook? Що ж, сотні організацій та мільйони людей у ​​всьому світі зазвичай користуються цим сервісом веб-пошти. Діапазон даних, які викрадає TrickBot, також розширився: файли cookie, історія переглядів, відвідані URL-адреси, Flash LSO (локальні спільні об’єкти) та багато іншого

Хоча ці модулі були новими на той час, вони не були добре закодовані.

У 2018 році TrickBot продовжував використовувати вразливість SMB. Він також був оснащений модулем, який вимикає моніторинг Windows Defender у режимі реального часу за допомогою команди PowerShell. Хоча він також оновив свій алгоритм шифрування, решта функцій модуля залишилася незмінною. Розробники TrickBot також почали захищати свій код від розбирання дослідниками безпеки, додаючи елементи обфускації.

Наприкінці року TrickBot був визнаний головною загрозою для бізнесу, обігнавши Emotet.

Розробники TrickBot у 2019 році знову внесли деякі зміни до трояна. Зокрема, вони змінили спосіб роботи функції webinject проти американських мобільних операторів Sprint, Verizon Wireless та T-Mobile.

Нещодавно дослідники помітили покращення методу ухилення цього трояна. Модуль Mworm, відповідальний за поширення своєї копії, був замінений новим модулем під назвою Nworm. Цей новий модуль змінює HTTP- трафік TrickBot, дозволяючи йому запускатися з пам’яті після зараження контролера домену. Це гарантує, що TrickBot не залишає жодних слідів зараження на уражених машинах.

На кого орієнтований Trickbot?

Спочатку здавалося, що мішенню TrickBot може бути будь-хто. Але останніми роками його цілі стали більш конкретними — наприклад, користувачі Outlook або T-Mobile. Часом TrickBot маскується під спам на податкову тематику під час податкового сезону.

У 2019 році дослідники з DeepInstinct виявили сховище зібраних адрес електронної пошти та/або облікових даних месенджерів мільйонів користувачів. Вони належать користувачам Gmail, Hotmail, Yahoo, AOL та MSN.

Як я можу захистити себе від TrickBot?

Вивчення принципів роботи TrickBot – це перший крок до розуміння того, як організації та споживачі можуть захистити себе від нього. Ось ще кілька речей, на які варто звернути увагу:

1. Шукайте можливі індикатори компрометації (IOC), запускаючи спеціально розроблені для цього інструменти, такі як Farbar Recovery Scan Tool (FRST). Це дозволить виявити заражені машини в мережі.

2. Після ідентифікації машин, ізолюйте заражені машини від мережі.

3. Завантажте та встановіть патчі, які усувають вразливості, що експлуатуються TrickBot.

4. Вимкнути адміністративні спільні ресурси.

5. Змініть усі паролі локальних адміністраторів та адміністраторів домену.

6. Захистіть себе від зараження TrickBot за допомогою програми кібербезпеки з багаторівневим захистом.

Як видалити TrickBot?

TrickBot не ідеальний, і (як ми бачили) розробники часом можуть бути недбалими. Важливо, що його можна видалити.

Ось що треба зробити:

1. Від’єднай комп’ютер від мережі — щоб зупинити поширення в локальній інфраструктурі.

2. Завантаж ПК у безпечному режимі (Safe Mode з підтримкою мережі).

3. Проскануй систему антивірусом / антималваре (Malwarebytes, Kaspersky, ESET, Microsoft Defender Offline).

4. Видали підозрілі файли та задачі в Планувальнику (Task Scheduler), які створив троян.

5. Очисть реєстр і автозапуск (msconfig, Autoruns) від невідомих процесів.

6. Онови всі паролі (банкінг, пошта, робочі обліковки) з іншого, чистого пристрою.

7. Перевір мережу на інші заражені машини — TrickBot часто «повертається» з інфікованих сусідів.

8. Встанови всі оновлення Windows і закрий SMB-вразливості.

TrickBot — це не просто ще один банківський троян, а складне модульне шкідливе програмне забезпечення, яке протягом років еволюціонувало у справжню платформу для масштабних атак. Воно демонструє, наскільки витонченими можуть бути сучасні загрози: від крадіжки банківських даних і облікових записів до поширення програм-вимагачів і повного компрометування корпоративних мереж.

Головний урок для користувачів та організацій полягає у важливості багаторівневого захисту: регулярні оновлення системи, використання надійних антивірусних рішень, уважне ставлення до електронних листів і обмеження адміністративних прав допомагають знизити ризик зараження.