Wouter Hoeffnagel - 27 februari 2022

Tientallen bedrijven slachtoffer van banktrojan Trickbot

Tientallen bedrijven slachtoffer van banktrojan Trickbot image

Meer dan 140.000 machines zijn sinds november 2020 door Trickbot geïnfecteerd. Het gaat daarbij onder meer om diverse klanten van bekende bedrijven, zoals Amazon, Microsoft, Google en PayPal. In totaal zijn 60 bedrijven gedocumenteerd waarvan de klanten de afgelopen 14 maanden het slachtoffer zijn geworden van Trickbot.

Dit meldt Check Point Research (CPR), de onderzoekstak van Check Point Software Technologies. CPR maakt een aantal belangrijke details over de implementatie van Trickbot bekend. Zo kan de infrastructuur van Trickbot door verschillende malwarefamilies worden gebruikt om meer schade aan geïnfecteerde machines aan te richten. CPR dringt erop aan om alleen documenten van vertrouwde bronnen te openen, aangezien Trickbot anti-analyse- en anti-verduisteringstechnieken gebruikt om op machines te blijven bestaan. Dit soort trucs illustreert de zeer technische achtergrond van de makers van de malware. Trickbot is een geavanceerde en veelzijdige malware met meer dan 20 modules die op aanvraag kunnen worden gedownload en uitgevoerd. Verder is de malware erg selectief in de manier waarop het zijn doelen kiest.

Hoe werkt Trickbot werkt?

Trickbot gaat als volgt te werk:

  1. Kwaadwillenden ontvangen een database met gestolen e-mails en sturen kwaadaardige documenten naar de gekozen adressen.
  2. De gebruiker downloadt en opent een dergelijk document, waardoor macro-uitvoering in het proces mogelijk wordt.
  3. De eerste fase van malware wordt uitgevoerd en de belangrijkste Trickbot-payload wordt gedownload.
  4. De belangrijkste Trickbot-payload wordt uitgevoerd en verankert zich op de geïnfecteerde machine.
  5. Extra Trickbot-modules kunnen op verzoek door de hacker naar de geïnfecteerde machine worden geüpload. De functionaliteit van dergelijke modules kan variëren: het kan zich verspreiden via een gecompromitteerd bedrijfsnetwerk, bedrijfsreferenties stelen, inloggegevens van banksites bemachtigen, enzovoort.

Volgens de onderzoekers van CPR werden in Europa inmiddels 1 op de 54 bedrijven geraakt door Trickbot, een percentage van 1,9 procent. Wereldwijd ligt dit op 1 op de 45 bedrijven, een percentage van 2,2 procent.

'Onthutsende cijfers'

“De cijfers van Trickbot zijn onthutsend. Het gaat om een groot aantal machines van klanten van enkele van de grootste en meest gerenommeerde bedrijven ter wereld. Trickbot valt spraakmakende slachtoffers aan om de inloggegevens te stelen en de operators toegang te geven tot de portals met gevoelige gegevens waar ze nog meer schade kunnen aanrichten. Tegelijkertijd weten we dat de operators achter de infrastructuur ook op hoog niveau veel ervaring hebben met malware-ontwikkeling. De combinatie van deze twee factoren zorgt ervoor dat Trickbot al meer dan vijf jaar een gevaarlijke bedreiging blijft”, zegt Zahier Madhar, security engineer bij Check Point Software in Nederland. “Ik dring er sterk bij mensen op aan om alleen documenten van vertrouwde bronnen te openen, altijd de laatste versie van zowel het besturingssysteem als de antivirussoftware te gebruiken en verschillende wachtwoorden te gebruiken op verschillende websites.”

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024