Trickbot infecteert wereldwijd klanten hyperscalers

cyberdreiging

Check Point Research (CPR) ontdekte nieuwe en geavanceerde details van de implementatie van Trickbot, een banktrojan. Deze malware steelt en compromitteert de data van zijn slachtoffers. Het richt zich op spraakmakende bedrijven. Het onderzoeksteam van Check Point stelt dat de malware sinds november 2020 meer dan 140.000 machines infecteerde. Die machines staan bij klanten van bekende bedrijven, zoals Amazon, Microsoft, Google en PayPal. In totaal documenteerde CPR 60 bedrijven waarvan criminelen de klanten de afgelopen 14 maanden aanvielen.

Verschillende malwarefamilies

CPR maakt een aantal belangrijke details over de implementatie van Trickbot bekend. Zo kan de infrastructuur van Trickbot door verschillende malwarefamilies worden gebruikt om meer schade aan geïnfecteerde machines aan te richten. CPR dringt erop aan om alleen documenten van vertrouwde bronnen te openen, aangezien Trickbot anti-analyse- en anti-verduisteringstechnieken gebruikt om op machines te blijven bestaan. Dit soort trucs illustreert de zeer technische achtergrond van de makers van de malware. Trickbot is een geavanceerde en veelzijdige malware met meer dan 20 modules die op aanvraag kunnen worden gedownload en uitgevoerd. Verder is de malware erg selectief in de manier waarop het zijn doelen kiest.

Hoe Trickbot werkt

Kwaadwillenden ontvangen een database met gestolen e-mails en sturen kwaadaardige documenten naar de gekozen adressen. De gebruiker downloadt en opent een dergelijk document, waardoor macro-uitvoering in het proces mogelijk wordt. De eerste fase van malware wordt uitgevoerd en de belangrijkste Trickbot-payload wordt gedownload.
De belangrijkste Trickbot-payload wordt uitgevoerd en verankert zich op de geïnfecteerde machine.

Extra functionaliteit

Extra modules kunnen op verzoek door de hacker naar de geïnfecteerde machine worden geüpload. De functionaliteit van dergelijke modules kan variëren: het kan zich verspreiden via een gecompromitteerd bedrijfsnetwerk, bedrijfsreferenties stelen, inloggegevens van banksites bemachtigen, enzovoort.
Volgens de onderzoekers van CPR werden in Europa inmiddels 1 op de 54 bedrijven geraakt door deze malware, een percentage van 1,9 procent. Wereldwijd ligt dit op 1 op de 45 bedrijven, een percentage van 2,2 procent.

Gerelateerde berichten...