Trickbot-Trojaner verbreitet sich als DLL und richtet sich auf Windows 10 aus

Originalbeitrag von Trend Micro

Verschiedenen Kampagnen machen deutlich, wie die Hintermänner des Banking-Trojaners Trickbot die Ausführungs- und Verschleierungstechniken des Schädlings weiterentwickelt haben. Zum einen kann der Trojaner jetzt als Dynamic Link Library (DLL)-Dateien verbreitet werden, zum anderen besitzt er derzeit Fähigkeiten, die exklusiv auf Windows 10 ausgerichtet sind.

Trickbot via DLL verbreiten

Statt wie bislang üblich eine EXE.-Datei als Loader zu nutzen, verwendet die neue Trickbot-Variante DLL-Dateien. Der Schädling wird von einem Word-Dokument abgelegt, das vermutlich über bösartige Anhänge in Spam-Mails verbreitet wird. Technische Einzelheiten beinhaltet der Originalbeitrag.

Trickbot wurde im August 2016 entdeckt. Der Banking-Trojaner stiehlt Email-Zugangsdaten von infizierten Computern. Die kompromittierten Mail-Konten nutzt er dann für die Verbreitung von bösartigen Mails. Die Hintermänner des Schädlings haben diesen mit immer neuen Fähigkeiten ausgestattet, wie etwa zum Vermeiden von Erkennung und Bildschirmsperren, sowie für das Remote Abgreifen von Anwendungs-Credentials. Auch zielte Trickbot bereits früher auf OpenSSH und OpenVPN oder wurde über verborgene JavaScript-Dateien verbreitet.

Ausschließlich auf Windows 10 ausgerichtete Fähigkeiten

Zu den exklusiv auf Windows 10 zugeschnittenen Funktionen gehören solche, die eine Erkennung in Sandboxen, die frühere Windows-Versionen nachahmen, verhindern. Technische Einzelheiten liefert der Originalbeitrag.

Schutz vor Trickbot

Angesichts von mehr als 250 Mio. kompromittierten Email-Konten müssen Unternehmen und Anwender die permanente Weiterentwicklung dieses Schädlings im Auge behalten. Als Schutzmaßnahme gegen den Trojaner sollten Unternehmen interne Schulungen zu den Möglichkeiten der Minderung der Gefahr durch Email-Bedrohungen durchführen. Mitarbeiter müssen lernen, bösartige Email zu erkennen. Es muss ihnen klar werden, dass sie keine Anhänge herunterladen dürfen oder Links aus unbekannten Quellen anklicken.

Sicherheitslösungen wie Trend Micro Email Security erkennen und stoppen Spam, bevor er Schaden anrichten kann. Trend Micro Smart Protection Suites beruht XGen™ Security und kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Eine Auflistung der Indicators of Compromise finden Sie im Originalbeitrag.

Zusätzliche Analysen von Angelo Deveraturda