Μόλις λίγους μήνες μετά τη διακοπή της λειτουργίας του από μία ομάδα εταιρειών ασφάλειας στον κυβερνοχώρο, το κακόβουλο λογισμικό Trickbot επέστεψε.
Ξεκινώντας ως ένα τραπεζικό trojan, το Trickbot εξελίχθηκε σε μια πολύ δημοφιλή μορφή κακόβουλου λογισμικού μεταξύ των εγκληματιών στον κυβερνοχώρο, λόγω της ιδιαίτερης φύσης του, που επέτρεψε να χρησιμοποιηθεί σε πολλά διαφορετικά είδη επιθέσεων.
Σε αυτά περιλαμβάνεται η κλοπή διαπιστευτηρίων σύνδεσης και η δυνατότητα διάδοσής του στο δίκτυο, που εξαπλώνει περαιτέρω τη μόλυνση.
Το Trickbot χρησιμοποιήθηκε ακόμα και ως loader για άλλες μορφές κακόβουλου λογισμικού, με τους εγκληματίες του κυβερνοχώρου να εκμεταλλεύονται μηχανήματα που έχουν ήδη παραβιαστεί από το Trickbot ως μέσο παράδοσης άλλων κακόβουλων payloads.
Τον περασμένο Οκτώβριο, μία επιχείρηση με επικεφαλής την Microsoft κατάφερε να διακόψει την υποδομή πίσω από το Trickbot botnet malware. Φαίνεται όμως πως τώρα ξαναζωντάνεψε, καθώς οι ερευνητές στο Menlo Security εντόπισαν ένα κακόβουλο λογισμικό, που φέρει τα χαρακτηριστικά γνωρίσματα προηγούμενης δραστηριότητας του Trickbot.
Αυτές οι επιθέσεις φαίνεται να στοχεύουν αποκλειστικά νομικές και ασφαλιστικές εταιρείες στη Βόρεια Αμερική, μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος”. Τα μηνύματα ενθαρρύνουν τα πιθανά θύματα να κάνουν κλικ σε έναν σύνδεσμο που στη συνέχεια τα ανακατευθύνει σε έναν διακομιστή που κατεβάζει κακόβουλο payload.
Πολλά από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ισχυρίζονται ότι ο χρήστης έχει εμπλακεί σε μια παραβίαση και τους κατευθύνει να κάνουν λήψη μίας «απόδειξης» της παραβίασης. Πρόκειται για μία τεχνική Social Engineering, που σκοπό έχει να πανικοβάλει το θύμα και να το πείσει να κάνει κλικ. Σε αυτήν την περίπτωση η λήψη είναι ένα αρχείο zip που περιέχει ένα κακόβουλο αρχείο Javascript, το οποίο συνδέεται με έναν διακομιστή για τη λήψη του τελικού payload του κακόβουλου λογισμικού.
Σύμφωνα με την ανάλυση, το payload συνδέεται με το κακόβουλο λογισμικό Trickbot, υποδεικνύοντας ότι είναι και πάλι ενεργό και θα μπορούσε να αποτελέσει απειλή για τα εταιρικά δίκτυα.
«Όπου υπάρχει θέληση, υπάρχει τρόπος. Αυτή η παροιμία ισχύει σίγουρα για τους κακόβουλους παράγοντες πίσω από τις επιχειρήσεις του Trickbot», δήλωσε ο Vinay Pidathala, διευθυντής έρευνας ασφάλειας στη Menlo Security.
Μια ενημέρωση για το Trickbot από το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC) συνιστά στους οργανισμούς να χρησιμοποιούν τις πιο πρόσφατες υποστηριζόμενες εκδόσεις λειτουργικών συστημάτων και λογισμικού και να εφαρμόζουν ενημερώσεις κώδικα ασφαλείας, προκειμένου να σταματήσουν το Trickbot ή άλλο κακόβουλο λογισμικό που εκμεταλλεύεται γνωστές ευπάθειες για διάδοση.
Συνιστάται επίσης οι οργανισμοί να εφαρμόζουν έλεγχο ταυτότητας δύο παραγόντων μέσω του δικτύου, έτσι ώστε σε περίπτωση που ένας υπολογιστής παραβιάζεται από κακόβουλο λογισμικό να είναι πολύ πιο δύσκολο να εξαπλωθεί.
