Check Point Research (CPR) heeft nieuwe en geavanceerde details ontdekt van de implementatie van Trickbot. Trickbot, een bekende banktrojan, steelt en compromitteert de data van zijn slachtoffers en richt zich op spraakmakende bedrijven. Het onderzoeksteam van Check Point stelt dat sinds november 2020 meer dan 140.000 machines door Trickbot zijn geïnfecteerd, waarvan vele klanten zijn van bekende bedrijven, zoals Amazon, Microsoft, Google en PayPal. In totaal heeft CPR 60 bedrijven gedocumenteerd waarvan de klanten de afgelopen 14 maanden het slachtoffer zijn geworden van Trickbot.

CPR maakt een aantal belangrijke details over de implementatie van Trickbot bekend. Zo kan de infrastructuur van Trickbot door verschillende malwarefamilies worden gebruikt om meer schade aan geïnfecteerde machines aan te richten. CPR dringt erop aan om alleen documenten van vertrouwde bronnen te openen, aangezien Trickbot anti-analyse- en anti-verduisteringstechnieken gebruikt om op machines te blijven bestaan. Dit soort trucs illustreert de zeer technische achtergrond van de makers van de malware. Trickbot is een geavanceerde en veelzijdige malware met meer dan 20 modules die op aanvraag kunnen worden gedownload en uitgevoerd. Verder is de malware erg selectief in de manier waarop het zijn doelen kiest.

Hoe Trickbot werkt:
1. Kwaadwillenden ontvangen een database met gestolen e-mails en sturen kwaadaardige documenten naar de gekozen adressen.
2. De gebruiker downloadt en opent een dergelijk document, waardoor macro-uitvoering in het proces mogelijk wordt.
3. De eerste fase van malware wordt uitgevoerd en de belangrijkste Trickbot-payload wordt gedownload.
4. De belangrijkste Trickbot-payload wordt uitgevoerd en verankert zich op de geïnfecteerde machine.
5. Extra Trickbot-modules kunnen op verzoek door de hacker naar de geïnfecteerde machine worden geüpload. De functionaliteit van dergelijke modules kan variëren: het kan zich verspreiden via een gecompromitteerd bedrijfsnetwerk, bedrijfsreferenties stelen, inloggegevens van banksites bemachtigen, enzovoort.

Volgens de onderzoekers van CPR werden in Europa inmiddels 1 op de 54 bedrijven geraakt door Trickbot, een percentage van 1,9 procent. Wereldwijd ligt dit op 1 op de 45 bedrijven, een percentage van 2,2 procent.

“De cijfers van Trickbot zijn onthutsend. Het gaat om een groot aantal machines van klanten van enkele van de grootste en meest gerenommeerde bedrijven ter wereld. Trickbot valt spraakmakende slachtoffers aan om de inloggegevens te stelen en de operators toegang te geven tot de portals met gevoelige gegevens waar ze nog meer schade kunnen aanrichten. Tegelijkertijd weten we dat de operators achter de infrastructuur ook op hoog niveau veel ervaring hebben met malware-ontwikkeling. De combinatie van deze twee factoren zorgt ervoor dat Trickbot al meer dan vijf jaar een gevaarlijke bedreiging blijft”, zegt Zahier Madhar, security engineer bij Check Point Software in Nederland. “Ik dring er sterk bij mensen op aan om alleen documenten van vertrouwde bronnen te openen, altijd de laatste versie van zowel het besturingssysteem als de antivirussoftware te gebruiken en verschillende wachtwoorden te gebruiken op verschillende websites.”