Πώς το λογισμικό Trickbot κατάφερε να μολύνει Amazon, Microsoft, Google

Το Trickbot πίσω από τη μόλυνση 140.000+ μηχανημάτων πελατών της Amazon, της Microsoft, της Google και 57 άλλων εταιρειών παγκοσμίως

Κυβερνοασφάλεια © 123rf.com

Το Trickbot θεωρείται ένα από τα ισχυρότερα κακόβουλα λογισμικά αφού κατάφερε να μολύνει πάνω από 140.000 μηχανήματα πελατών της Amazon, της Microsoft, της Google και 57 άλλων εταιρειών παγκοσμίως.

Συγκεκριμένα, η Check Point Research (CPR) έχει ανακαλύψει ιδιαίτερες λεπτομέρειες σχετικά με την εφαρμογή του Trickbot. Οι δημιουργοί του  κυνηγούν επιλεκτικά, στόχους υψηλού προφίλ για να κλέψουν και να θέσουν σε κίνδυνο τα ευαίσθητα δεδομένα τους. Επιπλέον, η υποδομή του Trickbotμπορεί να χρησιμοποιηθεί από διάφορες οικογένειες κακόβουλου λογισμικού για να προκαλέσει μεγαλύτερη ζημιά σε ήδη μολυσμένα μηχανήματα. Η CPR προτρέπει το κοινό να ανοίγει έγγραφα μόνο από αξιόπιστες πηγές, καθώς οι δημιουργοί του Trickbot αξιοποιούν τεχνικές κατά της ανάλυσης και κατά της παραποίησης για να εδραιωθούν στα μηχανήματα.

  • Η CPR παρέχει έναν κατάλογο 60 εταιρειών των οποίων οι πελάτες έχουν μολυνθεί από το Trickbot
  • Οι περιοχές που επλήγησαν κατά σειρά: Αμερική, Λατινική Αμερική, Ευρώπη, Αφρική, Βόρεια Αμερική
  • Η CPR προτείνει τρεις συμβουλές ασφάλειας και προστασίας από το Trickbot

Η Check Point Research (CPR) ανακάλυψε νέες και σύνθετες λεπτομέρειες σχετικά με την ανάπτυξη του Trickbot. Το γνωστό τραπεζικό Trojan κλέβει και εκθέτει τα δεδομένα των θυμάτων του, στοχεύοντας σε θύματα υψηλού προφίλ. Η CPR έχει καταγράψει περισσότερα από 140.000 μολυσμένα μηχανήματα με το Trickbot από τον Νοέμβριο του 2020, πολλά από τα οποία είναι πελάτες γνωστών εταιρειών, όπως η Amazon, η Microsoft, η Google και η PayPal. Συνολικά, η CPR κατέγραψε 60 εταιρείες των οποίων οι πελάτες έπεσαν θύματα του κατά τη διάρκεια των τελευταίων 14 μηνών.

Βασικές λεπτομέρειες εφαρμογής του Trickbot 

  • Το κακόβουλο λογισμικό είναι πολύ επιλεκτικό στον τρόπο με τον οποίο επιλέγει τους στόχους του
  • Διάφορα τεχνάσματα – συμπεριλαμβανομένων των anti-analysis και anti-Deobfuscation – που εφαρμόζονται στο εσωτερικό των modules καταδεικνύουν το υψηλό τεχνικό υπόβαθρο των δημιουργών του
  • Η υποδομή του μπορεί να χρησιμοποιηθεί από διάφορες οικογένειες κακόβουλου λογισμικού για να προκαλέσει μεγαλύτερη ζημιά στους μολυσμένους υπολογιστές
  • Εξελιγμένο και ευέλικτο κακόβουλο λογισμικό με περισσότερες από 20 ενότητες που μπορούν να μεταφορτωθούν και να εκτελεστούν κατά παραγγελία

Πώς λειτουργεί το Trickbot:

  1. Οι δράστες λαμβάνουν μια βάση δεδομένων με κλεμμένα emails και στέλνουν κακόβουλα έγγραφα στις επιλεγμένες διευθύνσεις.
  2. Ο χρήστης κατεβάζει και ανοίγει ένα τέτοιο έγγραφο, επιτρέποντας την εκτέλεση μακροεντολών κατά τη διαδικασία
  3. Εκτελείται το πρώτο στάδιο του κακόβουλου λογισμικού και γίνεται λήψη του κύριου φορτίου του Trickbot.
  4. Το κύριο φορτίο του Trickbot εκτελείται και εγκαθιδρύει την παραμονή του στο μολυσμένο μηχάνημα.
  5. Βοηθητικές ενότητες Trickbot μπορούν να μεταφορτωθούν στο μολυσμένο μηχάνημα κατά παραγγελία από τους φορείς της απειλής, η λειτουργικότητα αυτών των ενοτήτων μπορεί να ποικίλλει: μπορεί να εξαπλώνεται μέσω παραβιασμένου εταιρικού δικτύου, να κλέβει εταιρικά διαπιστευτήρια, να αρπάζει στοιχεία σύνδεσης σε τραπεζικούς ιστότοπους κ.λπ.

Επιπτώσεις

Ακολουθεί ένας χάρτης με το ποσοστό των οργανισμών που επηρεάστηκαν από το Trickbot σε κάθε χώρα σύμφωνα με τα δεδομένα τηλεμετρίας της CPR:

Ακολουθεί ένας πίνακας που δείχνει το ποσοστό των οργανισμών που επηρεάστηκαν από το Trickbot σε κάθε περιοχή:

Περιοχή Επηρεαζόμενοι οργανισμοί Ποσοστό
Παγκόσμια 1 στα 45 2.2%
APAC 1 στα 30 3.3%
Λατινική Αμερική 1 στα 47 2.1%
Ευρώπη 1 στα 54 1.9%
Αφρική 1 στα 57 1.8%
Βόρεια Αμερική 1 στα  69 1.4%

 

Σχόλιο του Alexander Chailytko, Cyber Security, Research & Innovation Manager στην Check Point Software Technologies,

“Τα νούμερα του Trickbot είναι συγκλονιστικά. Έχουμε καταγράψει πάνω από 140.000 μηχανές που στοχεύουν τους πελάτες μερικών από τις μεγαλύτερες και πιο αξιόπιστες εταιρείες στον κόσμο. Συνεχίσαμε να παρατηρούμε ότι οι δημιουργοί του Trickbot έχουν τις ικανότητες να προσεγγίζουν την ανάπτυξη κακόβουλου λογισμικού από πολύ χαμηλό επίπεδο και να δίνουν προσοχή σε μικρές λεπτομέρειες. Το Trickbot επιτίθεται σε θύματα υψηλού προφίλ για να κλέψει τα διαπιστευτήρια και να παρέχει στους χειριστές του πρόσβαση στις πύλες με ευαίσθητα δεδομένα, όπου μπορούν να προκαλέσουν ακόμη μεγαλύτερη ζημιά. Ταυτόχρονα, γνωρίζουμε ότι οι χειριστές που βρίσκονται πίσω από την εφαρμογή έχουν επίσης μεγάλη εμπειρία στην ανάπτυξη κακόβουλου λογισμικού σε υψηλό επίπεδο. Ο συνδυασμός αυτών των δύο παραγόντων είναι αυτός που επιτρέπει στο Trickbot να παραμένει μια επικίνδυνη απειλή εδώ για περισσότερό από 5 χρόνια. Προτρέπω τους χρήστες να ανοίγουν έγγραφα μόνο από αξιόπιστες πηγές και να χρησιμοποιούν διαφορετικούς κωδικούς πρόσβασης σε διαφορετικές τοποθεσίες στο διαδίκτυο”.

ΟΛΘ
1.19%
33.90
ΑΣΤΑΚ
6.40%
7.32
ΞΥΛΠ
12.72%
0.39
ΜΠΕΛΑ
-1.15%
27.48
ΟΛΥΜΠ
-1.79%
2.20
ΠΡΟΝΤΕΑ
0.85%
5.95
ΧΑΙΔΕ
0.72%
0.70
ΚΟΥΕΣ
-1.42%
6.23
ΤΡΕΣΤΑΤΕΣ
0.93%
1.64
ΜΥΤΙΛ
-0.48%
41.40
ΑΤΡΑΣΤ
0.00%
8.78
ΚΡΙ
1.84%
15.52
ΡΕΒΟΙΛ
-0.92%
1.61
ΠΛΑΘ
0.00%
3.79
ΑΤΤ
3.13%
0.76
ΦΛΕΞΟ
-1.30%
7.60
CNLCAP
1.49%
6.80
ΒΙΟΚΑ
-1.28%
1.55
ΔΟΜΙΚ
-0.43%
2.34
ΑΚΡΙΤ
1.00%
1.02
AEM
0.24%
4.10
ΟΡΙΛΙΝΑ
-0.26%
0.77
ΣΠΙ
0.00%
0.54
CENER
2.52%
8.96
ΔΟΥΡΟ
0.00%
0.00
ΑΒΑΞ
3.21%
2.06
ΜΠΤΚ
0.00%
0.60
ΕΛΤΟΝ
-1.83%
1.61
ΕΚΤΕΡ
5.76%
2.02
OPTIMA
-0.63%
15.90
ΜΑΘΙΟ
-4.76%
0.60
EVRR
-5.57%
0.19
ΣΑΡΑΝ
0.00%
0.00
ΑΛΦΑ
4.79%
2.23
ΙΛΥΔΑ
17.28%
2.24
ΕΤΕ
2.86%
9.56
ΠΑΙΡ
-2.44%
0.80
ΚΕΠΕΝ
0.00%
0.00
ΤΡΑΣΤΟΡ
0.84%
1.20
ΙΝΛΟΤ
-0.38%
1.04
ΓΕΒΚΑ
3.65%
1.42
ΕΛΧΑ
1.57%
2.01
ΕΛΠΕ
-0.33%
7.60
ΕΛΣΤΡ
-1.40%
2.11
ΠΕΤΡΟ
0.00%
8.66
ΛΑΝΑΚ
0.00%
0.90
ΛΕΒΠ
-0.95%
0.21
ΕΥΔΑΠ
-1.38%
5.73
ΜΕΒΑ
1.79%
4.56
ΦΑΙΣ
-0.08%
3.79
ΣΑΤΟΚ
0.00%
0.00
ΚΕΚΡ
0.44%
1.15
ΓΕΚΤΕΡΝΑ
0.00%
18.28
ΑΤΕΚ
6.80%
1.10
ΕΛΙΝ
0.92%
2.19
ΝΑΥΠ
-0.29%
0.68
ΣΑΡ
-1.48%
13.30
ΕΒΡΟΦ
0.53%
1.89
ΕΛΛ
0.73%
13.80
ΔΡΟΜΕ
2.04%
0.30
ΜΠΛΕΚΕΔΡΟΣ
0.00%
3.89
ΦΡΙΓΟ
3.68%
0.28
BOCHGR
3.16%
5.88
ΕΛΛΑΚΤΩΡ
1.08%
1.31
ΟΠΑΠ
3.42%
20.24
ΒΙΟΤ
0.00%
0.00
ΠΡΕΜΙΑ
0.67%
1.21
ΒΙΟΣΚ
1.00%
1.52
ΙΚΤΙΝ
0.61%
0.33
ΜΠΡΙΚ
2.34%
2.62
ΑΛΜΥ
-1.57%
5.00
ΑΝΔΡΟ
-0.30%
6.72
ΑΒΕ
1.15%
0.44
ΣΕΝΤΡ
-0.60%
0.33
ΛΟΓΟΣ
0.00%
0.00
ΠΕΡΦ
1.47%
5.54
ΙΝΛΙΦ
1.88%
4.88
ΕΛΒΕ
1.00%
5.05
ΙΑΤΡ
-2.34%
1.88
ΕΠΙΛΚ
0.00%
0.00
ΙΝΤΕΚ
0.64%
6.32
ΙΝΤΕΤ
0.40%
1.25
ΑΤΤΙΚΑ
-0.46%
2.16
ΞΥΛΚ
0.00%
0.24
ΛΑΒΙ
1.38%
0.81
ΣΠΥΡ
0.00%
0.00
ΜΟΝΤΑ
-1.50%
3.94
ΟΤΟΕΛ
1.23%
11.48
ΣΙΔΜΑ
0.71%
1.42
ΑΣΚΟ
1.16%
3.49
ΛΑΜΨΑ
0.54%
37.20
NOVAL
0.00%
2.40
ΦΡΛΚ
-0.38%
3.97
ΕΥΑΠΣ
-0.61%
3.28
ΝΑΚΑΣ
0.00%
0.00
ΕΧΑΕ
1.33%
5.33
DIMAND
0.00%
8.44
ΠΛΑΚΡ
0.00%
14.90
ΤΖΚΑ
-6.69%
1.33
ΔΑΑ
0.44%
9.18
ΜΙΓ
-2.00%
2.94
ΚΤΗΛΑ
-1.00%
1.98
ΒΟΣΥΣ
-3.81%
2.02
ΠΡΔ
2.68%
0.23
ΔΕΗ
3.19%
13.59
ΙΝΤΚΑ
0.49%
3.09
ΜΕΡΚΟ
0.59%
34.20
ΠΡΟΦ
3.07%
5.70
ΚΥΡΙΟ
-3.61%
0.80
ΛΟΥΛΗ
1.71%
3.56
TITC
-1.60%
40.10
ΕΣΥΜΒ
0.71%
1.14
ACAG
1.53%
5.97
ΣΠΕΙΣ
-2.07%
5.68
ΑΡΑΙΓ
2.03%
12.04
ΚΑΡΕΛ
3.18%
324.00
ΑΔΜΗΕ
0.00%
2.88
ΜΕΝΤΙ
-2.77%
2.11
ΟΤΕ
0.66%
16.83
ΛΕΒΚ
4.24%
0.25
ΥΑΛΚΟ
0.00%
0.00
ΒΙΟ
1.65%
5.54
ΤΕΝΕΡΓ
0.00%
0.00
ΕΥΡΩΒ
3.59%
2.57
ΑΑΑΚ
-10.00%
4.50
ΜΟΥΖΚ
0.00%
0.00
AKTR
4.55%
5.17
ΜΟΤΟ
-2.20%
2.67
ΕΕΕ
0.66%
45.48
EVR
0.00%
1.50
ΔΑΙΟΣ
0.00%
0.00
ΜΟΗ
1.41%
21.60
ΜΙΝ
3.83%
0.49
ΠΑΠ
1.20%
2.53
ΛΑΜΔΑ
1.51%
6.72
ΟΛΠ
1.01%
39.90
ΚΟΡΔΕ
-1.68%
0.41
ΚΟΥΑΛ
1.44%
1.13
ΠΕΙΡ
4.91%
5.15