Malware Trickbot milik keluarga Trojan spyware, terutama digunakan untuk tujuan sektor perbankan.
Kemunculan pertamanya dimulai pada tahun 2016 dan targetnya telah diidentifikasi di beberapa negara bagian, termasuk Amerika Serikat, Kanada, Inggris Raya, Jerman, Australia, Autria, Irlandia, dan Swiss.
Malware, sejauh menyangkut pengembangan, ditulis dalam C ++, salah satu bahasa yang mampu mengakses CPU, register, dan memori secara langsung.
Trickbot adalah Trojan yang hanya bekerja pada platform Windows. Setelah malware menginfeksi PC, tugasnya adalah mencuri kredensial dan informasi perbankan, tetapi juga dapat digunakan untuk mengekspor file atau data secara umum.
Malware, pertama-tama, memiliki kemampuan untuk memuat kode di dalam sistem agar terinfeksi dan membuat replika dirinya sendiri di dalam folder% APPDATA%, menghapus file asli.
Oleh karena itu, ia mampu mengumpulkan informasi sensitif seperti data pribadi dan kredensial perbankan (menggunakan informasi yang dikumpulkan oleh browser) dan kemudian mengeksfiltrasi mereka, tetapi juga alamat email.
Melalui rantai C2, ia mampu memperbarui dirinya sendiri ke versi baru dan data exfiltrasi. Saluran yang digunakan untuk rantai C2-nya dienkripsi dengan enkripsi simetris (AES CBC 256 bit).
Itu mampu mengarahkan pengguna ke situs web palsu untuk tujuan mengumpulkan kredensial.
Trickbot telah digunakan oleh beberapa grup, terutama TA505 dan Wizard Spider.
Ada berbagai versi malware, untuk sistem 32 dan 64 bit.
Vektor infeksi umumnya berupa file Word dengan makro aktif, diterima melalui email selama kampanye spearphishing.
Dimungkinkan untuk mengidentifikasi keberadaan Trickbot di sistem kami dalam mode manual hanya dengan melihat folder% APPDATA% dan memverifikasi keberadaan dua file Trickbot yang khas:
- client_id, yang berisi data identifikasi pengguna yang terinfeksi;
- group_tag, yang berisi data identifikasi kampanye infeksi.
Dalam folder yang sama adalah file eksekusi Trickbot yang aslinya disalin dari file aslinya.
Tampaknya saat ini tidak ada cara untuk mengidentifikasi keberadaannya melalui sistem analisis lalu lintas otomatis, karena lalu lintas yang dibuat menuju sistem C2 dienkripsi (SSL).
Sebaliknya, dapat diidentifikasi dengan menganalisis memori, tetapi harus diperhatikan bahwa versi yang berbeda meninggalkan jejak yang berbeda.
Untuk menghapus Trickbot Anda dapat merujuk ke beberapa perangkat lunak sebagai "malwarebytes" atau Anda harus melanjutkan secara manual, tergantung pada versi sistem operasi, tidak ada yang mustahil, tetapi tidak mudah.
Trickbot adalah malware yang menyebar melalui kampanye phishing atau spearphishing sehingga sangat penting untuk memperhatikan email yang diterima dan mengadopsi prinsip yang sehat dari "jangan buka email atau file yang mencurigakan", meskipun tidak selalu mudah untuk diterapkan.
Trickbot, seperti malware lainnya, mengeksploitasi lubang keamanan sistem.
Untuk melindungi diri Anda sendiri, konfigurasi yang benar dari sistem yang digunakan terkadang sudah cukup, dengan referensi khusus ke penggunaan akun administrasi yang benar.
Kami juga merekomendasikan penggunaan perangkat lunak dan sistem yang didukung oleh perusahaan induk, khususnya yang berkaitan dengan Sistem Operasi yang menjadi dasar keamanan.
Penggunaan "Deteksi dan Respons Titik Akhir" dapat membantu, selama staf mampu menanganinya.
Untuk mempelajari lebih lanjut:
- https://fraudwatchinternational.com/malware/trickbot-malware-works/
- https://attack.mitre.org/software/S0266/
- https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-...
- https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-repor...
- https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
- https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain...
