Podľa spoločnosti Menlo Security bola po minuloročnom narušení prevádzkovej infraštruktúry opätovne spozorovaná aktivita škodlivého malvéru Trickbot. Bot navyše využíva nový komponent – open-source program Masscan pre prieskum miestnej siete.
Cieľmi novej kampane boli severoamerickí pracovníci predovšetkým v sektoroch poisťovníctva a verejnej správy. Trójskeho koňa si do svojich zariadení stiahli vďaka jeho spoľahlivému krytiu.
Trickbot mení kabát
Trojan v novej verzii zmenil stratégiu. Oproti niekdajšiemu preposielaniu škodlivých emailových príloh nabáda tentokrát užívateľov k tomu, aby klikli na link, ktorý ich presmeruje na kompromitovaný server.
Po presmerovaní na cieľovú webovú stránku obdržia obete obvinenie z bližšie nešpecifikovaného dopravného priestupku. Užívatelia mieniaci zistiť viac následne povolia sťahovanie ZIP súboru, ktorý im má sprístupniť dôkazové materiály o ich nezákonnej jazde.
ZIP súbor s údajnými fotografickými záznamami totiž obsahoval škodlivý malvér v podobe JavaScript súboru. Takýto postup, ktorý pracuje s emóciami obete, predstavuje štandardný trik sociálneho inžinierstva hackerov.
Vstupné URL aj C&C server sú na informačnom kanáli o hrozbách URLHaus spojené práve s Trickbotom. Server VirusTotal však viacero URL adries použitých v rámci tohto útoku nerozpoznáva.
Podarí sa ho zničiť?
Znovuobjavenie Trickbota podvracia úspechy minuloročnej októbrovej akcie Microsoftu spolu s ďalšími technologickými spoločnosťami, ktorá mala za cieľ rozbiť jeho C&C infraštruktúru.
Americké súdy následne vyniesli zákaz, vďaka ktorému trojan nemohol využívať akékoľvek hosťovské IP adresy a jeho operátori museli zakúpiť licenciu na nové servery.
Aj napriek týmto opatreniam si ale Trickbot znova našiel svoje cesty k užívateľom. Je teda veľmi pravdepodobné, že kým budú jeho pôvodcovia na slobode, so svojou aktivitou len tak ľahko neskončí.
Kde je vôľa, tam je cesta. Toto príslovie zaiste platí aj pre pôvodcov operácií Trickbota,“ dodal Vinay Pidathala, riaditeľ spoločnosti Menlo Security.
Trickbot predstavuje dlhodobo známy bankový botnet, aktívny už od roku 2016. Tento škodlivý subjekt distribuoval počas minulého roka ransomvér a bol najúspešnejší vo využívaní témy COVID-19 ako zámienky pre svoje útoky.
Jeho nebezpečenstvo spočíva v schopnosti prispôsobiť sa – autori Trickbotu neustále vydávajú nové, modulárne verzie.
Trickbot dokáže ukradnúť prihlasovacie údaje bankových služieb, privlastniť si systémové oprávnenia, inštalovať do systémov zadné vrátka, stiahnuť iné malvéry či skryť svoju identitu za účelom vyvarovania sa odhaleniu.
Poradca britského Národného centra pre kybernetickú bezpečnosť odporúča organizáciám, aby používali najnovšie verzie operačných systémov a softvéru a zamedzili tak zneužitiu slabých miest malvérom.
Preferované je takisto použitie dvojfaktorovej autentifikácie, ktoré je schopné zastaviť šírenie malvéru v rámci siete.
Jana Tuhrinová