Μόλις λίγους
μήνες
μετά τη διακοπή της λειτουργίας του από μία ομάδα εταιρειών ασφάλειας στον
κυβερνοχώρο
, το κακόβουλο λογισμικό
Trickbot
επέστεψε.
Ξεκινώντας ως ένα τραπεζικό
trojan
, το
Trickbot
εξελίχθηκε σε μια πολύ δημοφιλή μορφή κακόβουλου
λογισμικού
μεταξύ των εγκληματιών στον κυβερνοχώρο, λόγω της ιδιαίτερης φύσης του, που επέτρεψε να χρησιμοποιηθεί σε πολλά διαφορετικά είδη επιθέσεων.
Σε αυτά περιλαμβάνεται η κλοπή διαπιστευτηρίων σύνδεσης και η
δυνατότητα
διάδοσής του στο
δίκτυο
, που εξαπλώνει περαιτέρω τη
μόλυνση
.
Το
Trickbot
χρησιμοποιήθηκε ακόμα και ως
loader
για άλλες μορφές κακόβουλου
λογισμικού
, με τους
εγκληματίες
του κυβερνοχώρου να εκμεταλλεύονται μηχανήματα που
έχουν
ήδη παραβιαστεί από το
Trickbot
ως μέσο παράδοσης άλλων κακόβουλων payloads.
Τον περασμένο Οκτώβριο, μία επιχείρηση με επικεφαλής την
Microsoft
κατάφερε να διακόψει την υποδομή πίσω από το
Trickbot
botnet
malware
. Φαίνεται όμως πως τώρα ξαναζωντάνεψε, καθώς οι ερευνητές στο
Menlo
Security
εντόπισαν ένα κακόβουλο λογισμικό, που φέρει τα
χαρακτηριστικά
γνωρίσματα προηγούμενης δραστηριότητας του
Trickbot
.
Αυτές οι
επιθέσεις
φαίνεται να στοχεύουν
αποκλειστικά
νομικές και ασφαλιστικές
εταιρείες
στη Βόρεια Αμερική, μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού “ψαρέματος”. Τα μηνύματα ενθαρρύνουν τα πιθανά
θύματα
να κάνουν κλικ σε έναν σύνδεσμο που στη συνέχεια τα ανακατευθύνει σε έναν διακομιστή που κατεβάζει κακόβουλο payload.
Πολλά από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου ισχυρίζονται ότι ο χρήστης έχει εμπλακεί σε μια παραβίαση και τους κατευθύνει να κάνουν λήψη μίας «απόδειξης» της παραβίασης. Πρόκειται για μία τεχνική
Social Engineering
, που σκοπό έχει να πανικοβάλει το θύμα και να το πείσει να κάνει κλικ. Σε αυτήν την περίπτωση η λήψη
είναι
ένα αρχείο zip που περιέχει ένα κακόβουλο αρχείο
Javascript
, το οποίο συνδέεται με έναν διακομιστή για τη λήψη του τελικού payload του κακόβουλου
λογισμικού
.
Σύμφωνα με την ανάλυση, το payload συνδέεται με το κακόβουλο λογισμικό
Trickbot
, υποδεικνύοντας ότι
είναι
και πάλι ενεργό και θα μπορούσε να αποτελέσει απειλή για τα εταιρικά
δίκτυα
.
«Όπου υπάρχει θέληση, υπάρχει τρόπος. Αυτή η παροιμία ισχύει σίγουρα για τους κακόβουλους παράγοντες πίσω από τις
επιχειρήσεις
του
Trickbot
», δήλωσε ο
Vinay Pidathala
, διευθυντής έρευνας ασφάλειας στη Menlo
Security
.
Μια
ενημέρωση
για το
Trickbot
από το
Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC)
συνιστά
στους
οργανισμούς να χρησιμοποιούν τις πιο πρόσφατες υποστηριζόμενες εκδόσεις λειτουργικών συστημάτων και
λογισμικού
και να εφαρμόζουν ενημερώσεις κώδικα
ασφαλείας
, προκειμένου να σταματήσουν το
Trickbot
ή άλλο κακόβουλο λογισμικό που εκμεταλλεύεται γνωστές
ευπάθειες
για διάδοση.
Συνιστάται επίσης οι οργανισμοί να εφαρμόζουν έλεγχο ταυτότητας δύο παραγόντων μέσω του
δικτύου
, έτσι ώστε σε περίπτωση που ένας
υπολογιστής
παραβιάζεται από κακόβουλο λογισμικό να
είναι
πολύ πιο δύσκολο να εξαπλωθεί.