FBI και CISA προειδοποιούν για μια νέα spear-phishing εκστρατεία που προσπαθεί να μολύνει τους υπολογιστές των θυμάτων με ένα από τα πιο γνωστά malware, το Trickbot.
Δείτε επίσης: Trickbot: Νέα μονάδα χρησιμοποιεί το Masscan για αναγνώριση τοπικού δικτύου
Το Trickbot ξεκίνησε ως ένα απλό banking trojan, αλλά πλέον έχει εξελιχθεί πολύ και αυτή τη στιγμή έχει γίνει ένα από τα πιο ισχυρά εργαλεία που χρησιμοποιούν οι εγκληματίες στον κυβερνοχώρο. Συνήθως, οι hackers μολύνουν τα συστήματα με το Trickbot για να αποκτήσουν πρόσβαση στα μηχανήματα και να παραδώσουν άλλο κακόβουλο λογισμικό, συμπεριλαμβανομένων διαφόρων παραλλαγών ransomware.
Σύμφωνα με μια κοινή έκθεση των FBI και CISA, οι δημιουργοί του Trickbot χρησιμοποιούν τώρα μια νέα τακτική για να το παραδώσουν στα συστήματα των θυμάτων. Στέλνουν phishing emails με θέμα “proof of a traffic violation“. Οι εγκληματίες ελπίζουν ότι το θύμα θα φοβηθεί και θα ανοίξει το email για να μάθει περισσότερα.
Χρήσιμη πληροφορία: Phishing επιθέσεις: Τι είναι και πώς επιτίθενται συνήθως οι hackers;
Τα κακόβουλα emails περιέχουν έναν σύνδεσμο που οδηγεί τους χρήστες σε ένα website, που φιλοξενείται σε έναν server που έχει παραβιαστεί από τους επιτιθέμενους. Το site λέει στο θύμα να κάνει κλικ σε μια φωτογραφία για να δει την απόδειξη. Αν το θύμα κάνει κλικ στη φωτογραφία, θα κατεβάσει ένα JavaScript αρχείο, το οποίο όταν ανοίγει, συνδέεται με έναν command and control server που κατεβάζει το Trickbot στο σύστημά του.
Το Trickbot δημιουργεί ένα backdoor στους Windows υπολογιστές, το οποίο επιτρέπει στους επιτιθέμενους να κλέψουν ευαίσθητες πληροφορίες. Μάλιστα, ορισμένες εκδόσεις του Trickbot μπορούν να εξαπλωθούν σε ολόκληρα δίκτυα.
Η modular φύση του Trickbot το κάνει εξαιρετικά προσαρμόσιμο και του επιτρέπει τη μόλυνση του συστήματος και με πρόσθετο malware (π.χ. Ryuk ή Conti ransomware). Επίσης, συχνά χρησιμοποιείται και για την εγκατάσταση του Emotet malware, ενώ μπορεί να εκμεταλλευτεί τα μολυσμένα μηχανήματα για cryptomining.
Δείτε επίσης: Microsoft: «Μη χαλαρώνετε τις άμυνές σας. Το Emotet μπορεί να επιστρέψει»
Εταιρείες ασφαλείας προσπάθησαν να σταματήσουν τη λειτουργία του Trickbot τον Οκτώβριο του περασμένου έτους, αλλά λίγους μήνες μετά, οι εγκληματίες άρχισαν να το χρησιμοποιούν ξανά.
“Οι προσπάθειες κατάργησης τον Οκτώβριο ήταν απίθανο να απενεργοποιήσουν μόνιμα αυτό το πολύ ικανό κακόβουλο λογισμικό που είναι ενεργό στο τοπίο απειλών εδώ και χρόνια. Έχει μια ισχυρή υποδομή και έτσι μπορεί να συνεχίσει να λειτουργεί“, δήλωσε η Sherrod DeGrippo, ανώτερο στέλεχος στον τομέα της έρευνας στην Proofpoint.
“Η πλήρης αφαίρεση του Trickbot από το τοπίο απειλών θα ήταν εξαιρετικά δύσκολη και πιθανότατα θα απαιτούσε μια συντονισμένη διεθνή προσπάθεια. Στην πραγματικότητα, μετά τις ενέργειες του Οκτωβρίου 2020, είδαμε ότι οι εκστρατείες Trickbot συνεχίστηκαν μέσα σε λίγες εβδομάδες”, πρόσθεσε.
Το Trickbot παραμένει ένα ισχυρό εργαλείο για τους εγκληματίες και αποτελεί έναν από τους μεγαλύτερους κινδύνους για επιχειρήσεις και οργανισμούς όλων των μεγεθών.
Ωστόσο, το FBI και η CISA δίνουν κάποιες συμβουλές για να προστατευτούν οι οργανισμοί από το Trickbot και άλλα malware.
Η εκπαίδευση των υπαλλήλων ώστε να αναγνωρίζουν τα phishing emails, είναι ένα από τα πιο βασικά βήματα.
Επίσης, η τακτική ενημέρωση συστημάτων και εφαρμογών εμποδίζει τους εγκληματίες να εκμεταλλευτούν πιθανές ευπάθειες.
Πηγή: ZDNet