Link-2-Secure

Cybersecurity and data breach news

Trickbot powraca z nowymi atakami phishingowymi i malware

Złośliwe oprogramowanie Trickbot powraca z nową kampanią - zaledwie kilka miesięcy po tym, jak jego działalność została zablokowana przez grupę firm zajmujących się bezpieczeństwem cybernetycznym i technologiami.

Pod koniec minionego roku botnet Trickbot został unieszkodliwiony przez grupę firm zajmujących się bezpieczeństwem cybernetycznym, ale badacze ujawnili coś, co wygląda jak nowa kampania Trickbota.

Początkowo Trickbot był trojanem bankowym, ale z czasem stał się bardzo popularną formą złośliwego oprogramowania wśród cyberprzestępców, zwłaszcza że jego modułowa natura pozwalała na wykorzystanie go do wielu różnych ataków. Obejmowały one między innymi kradzież danych do logowania oraz dawały możliwość rozprzestrzeniania się w sieci, co pozwalało na dalsze szerzenie infekcji.

Trickbot stał się również nośnikiem (loaderem) dla innych form złośliwego oprogramowania, a cyberprzestępcy wykorzystywali już zaatakowane przez Trickbota maszyny do rozpowszechniania innych złośliwych programów, w tym ransomware.

W październiku zeszłego roku, akcja przejęcia kontroli przeprowadzona przez Microsoft przerwała działanie infrastruktury stojącej za botnetem Trickbot Niestety patrząc na to co zidentyfikowali badacze z Menlo Security, wydaje się, że botnet powraca do życia… Nowa kampania jest przeprowadzana podobnie jak poprzednie z udziałem Trickbora.

Obecne ataki wydają się być ukierunkowane wyłącznie na firmy prawnicze i ubezpieczeniowe w Ameryce Północnej, a wiadomości phishingowe zachęcają potencjalne ofiary do kliknięcia na link, który przekieruje je do serwera pobierającego złośliwy program. Większość z tych wiadomości sugeruje, że użytkownik był zamieszany w naruszenie przepisów ruchu drogowego i kieruje go do miejsca, z którego można pobrać „dowód” popełnionego wykroczenia – jest to sztuczka socjotechniczna, która może zaskoczyć ludzi i skłonić ich do pobrania pliku. W tym przypadku do pobrania jest archiwum zip, które zawiera złośliwy plik Javascript – typowa technika wykorzystywana w kampaniach Trickbota – który łączy się z serwerem w celu pobrania docelowego pliku ze złośliwym oprogramowaniem.

Analiza tego loadera wskazuje, że łączy się on z domenami, które są znane z dystrybucji złośliwego oprogramowania Trickbot, co wskazuje, że jest ono ponownie aktywne i może stanowić zagrożenie dla sieci przedsiębiorstw.

„Gdzie jest wola, tam jest i sposób. To przysłowie z pewnością jest prawdziwe w przypadku złych aktorów stojących za operacjami Trickbota” – skomentował Vinay Pidathala, dyrektor ds. badań nad bezpieczeństwem w Menlo Security. „Chociaż działania Microsoftu i jego partnerów były godne pochwały, a aktywność Trickbota spadła do zera, hakerzy wydają się być wystarczająco zmotywowani, aby wznowić działalność i wykorzystać obecną sytuację” – dodał.

W raporcie dotyczącym Trickbota, wydanym przez brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC), zaleca się, aby organizacje korzystały z najnowszych wspieranych wersji systemów operacyjnych i oprogramowania oraz stosowały poprawki bezpieczeństwa w celu powstrzymania rozprzestrzeniania się Trickbota i innych złośliwych programów wykorzystujących znane luki.

Zaleca się również stosowanie dwuskładnikowego uwierzytelniania w całej sieci, aby w przypadku, gdy jedna maszyna zostanie zaatakowana przez złośliwe oprogramowanie, trudniej było mu się rozprzestrzenić.