Hoppa till huvudinnehållet

TrickBot: det mångfacetterade botnätet

Vad är det som gör TrickBot-botnätet så farligt? Tillsammans med banktrojanerna Emotet, som numera har oskadliggjorts, och Retefe, utgör TrickBot ett hot även mot din dator. TrickBot, och botnätet bakom den skadliga programvaran, utgör en utmaning för specialister på cybersäkerhet.
TrickBot har använts av cyberbrottslingar för att infiltrera andra personers datorer sedan 2016 med syfte att spionera på konfidentiella, privata uppgifter. Bland offren till dessa cyberattacker finns inte bara företag, utan även privatpersoner. Detta skadeprograms räckvidd och funktioner har växt betydligt sedan det upptäcktes år 2016. Det är inte längre inriktat enbart på att stjäla data – TrickBot kan även ändra nätverkstrafik och sprida sig vidare. När den skadliga programvaran väl har tagit sig in i ett system och infekterat datorn öppnar TrickBot bakdörren för andra skadeprogram.

TrickBot är extra farligt och skadligt på grund av dels dess förmåga att mutera, och dels de många plugin-program det numera har med sig. Som vanligt för ett trojanprogram är TrickBot väldigt bra på att hålla sig dolt från sina offer. Det kan endast upptäckas och elimineras genom att vara mycket uppmärksam och använda något av de bästa säkerhetsprogrammen, exempelvis Kaspersky Anti-Virus.

Hur sprids banktrojanen TrickBot?

I början tog sig TrickBot ofta in i system via nätfiskemeddelanden. Detta går ut på att skicka falska e-postmeddelanden som ser ut att vara äkta meddelanden från välkända institutioner och företag, och som ofta innehåller en bilaga. Offren för TrickBot-attacken uppmanas i e-postmeddelandet att öppna en bilaga eller en länk, vilket leder till att datorn infekteras. När bilagan öppnas gör det att den skadliga programvaran laddas ner. En TrickBot-infektion kan även inträffa genom till exempel skadliga uppdateringar eller genomskadeprogram som redan finns på datorn eller enheten. När den skadliga programvaran väl tagit sig in i datorn och kan spara användarens data är ett av dess främsta mål att förbli oupptäckt så länge som möjligt.

Hur fungerar en TrickBot-attack?

I en TrickBot-attack avslutas först Windows-tjänster och aktiviteter hos Windows Defender eller andra antivirusprogram. Sedan används olika metoder för att utöka behörigheter. De administrativa behörigheter som skapas kan sedan användas av ytterligare plugin-program, som skadeprogrammet överför automatiskt. Därefter spionerar TrickBot på både systemet och nätverket och samlar in data från användaren. Den information som samlas ihop av skadeprogrammet skickas sedan vidare till externa enheter, eller till de cyberbrottslingar som ligger bakom attacken.

Vilka konsekvenser kan banktrojanen ha för offret och den drabbade datorn?

Viruset "Win 32/TrickBot.AK" gör att data lagras utan användarens medgivande och spionerar på datorns användare. Ett möjligt sätt att komma över data kan till exempel vara att visa falska dialogfält som visas på grund av skadeprogrammet. TrickBot lagrar inte självt tangentnedtryckningar och registrerar inte skärmdumpar. Trojanen kan ansluta till en fjärrserver och ingår i en grupp med automatiserade skadeprogram som kallas för ett botnät. TrickBot påverkar inte datorns prestanda och gör inte att den upphör att svara på kommandon. TrickBot kan dock vara ansvarigt för en DDoS-attack (distributed denial of service). Dessa går ut på att ett stort antal riktade begäranden från en mängd olika datorer leder till avbrott i en webbtjänst. Andra funktioner hos skadeprogrammet TrickBot är att ladda ned andra skadeprogram till infekterade datorer, sprida sig självt och skapa angreppspunkter för hackare.

Upptäcka TrickBot och ta bort banktrojaner

För att upptäcka en TrickBot-infektion krävs vaksamhet. Tecken på att din dator infekterats av detta skadeprogram kan till exempel vara obehöriga inloggningsförsök på online-konton. Offer för en attack varnas ibland av att en ändring har gjorts i nätverkets infrastruktur. En senare, allvarligare indikation på infektion av den skadliga programvaran kan vara en banköverföring som genomförts utan att du varit inblandad. Den skadliga programvaran kan maskera sig som en legitim datorprocess eller en vanlig fil. Detta gör det i det närmaste omöjligt att upptäcka, och att bara radera filer som ser misstänkta ut kan orsaka irreparabla skador på datorn. Eftersom TrickBot är en trojan som stjäl data bör skadorna åtgärdasfort som möjligt. Det bästa sättet att göra detta är skyddsprodukter mot skadlig programvara, exempelvis de från Kaspersky. Både identifieringen av en TrickBot-infektion och borttagningen av banktrojanen tar väldigt mycket tid.

Stölder av inloggningsuppgifter och konsekvenserna av en TrickBot-attack

Som redan nämnts siktar TrickBot på att stjäla inloggningsuppgifter, och viruset ägnar sig alltså åt så kallad credential stuffing. Med Credential stuffing menas en metod som används av cyberbrottslingar för att ta över online-konton. I början sågs i synnerhet finansinstitut såsom banker som de huvudsakliga målen för TrickBot-trojanen. Cyberbrottslingar kommer obehörigt åt privata konton genom att stjäla privata inloggningsuppgifter. Dessa kan sedan användas till exempel för att göra banköverföringar. Förutom lösenord och användarnamn kan TrickBot också komma över webbläsarens autoifyllningsinformation och dess historik och lagrade cookies.

Vanliga konsekvenser av en TrickBot-attack

Det finns vissa vanligt förekommande konsekvenser som offer för TrickBot-attacker måste hantera. För det första tas deras konton över av cyberbrottslingar. När detta är klart begär hackarna normalt en lösensumma för att släppa tillbaka kontona eller filerna. Sist men inte minst kan utpressningsprogram sprida sig till andra filer på de enheter som infekterats.

Bekämpa TrickBot: Hur skyddar du dig bäst mot en attack?

  • Använd ett professionellt antivirusprogram eller ett trojanskanningsprogram.
  • Var försiktig när du kontrollerar skräppost. Låt bli att öppna misstänkta eller tvivelaktiga e-postmeddelanden och bilagorna i dem. Påpeka också för medarbetare att de under inga omständigheter får godkänna aktiverandet av makron.
  • Programvaran på datorer ska alltid vara uppdaterad.
  • Var vaksam när du uppdaterar programvara.
  • Använd officiella leverantörer i stället för tredjepartsleverantörer för programvara, och tacka nej till tilläggspaket när du laddar ner.

Hur många säkerhetsåtgärder du än vidtar kan alla risker inte elimineras helt, och en trojan kan ändå infektera din dator. Glöm därför inte bort att regelbundet säkerhetskopiera dina data.

TrickBot i kombination med annan skadlig programvara

Emotet, TrickBot och Ryuk – en dödlig kombination för dina data

Alla goda ting är tre – men detta gäller verkligen inte kombinationen av Trickbot, Emotet och Ryuk. Kombinationen av dessa tre skadeprogram är särskilt farlig, och får de skador som orsakas av en enstaka TrickBot-attack att framstå som i det närmaste harmlösa. De tre programmen samarbetar sömlöst och kan på så sätt maximera skadan. Emotet står för inledningen av angreppet och utför de klassiska trojan-uppgifterna att öppna dörren för TrickBot och Ryuk, och därmed för förövarna. I nästa steg används TrickBot av angriparna för att inhämta information om det infekterade systemet och distribuera sig självt i nätverket så väl som det är möjligt. Som ett sista steg kopieras krypteringstrojanen Ryuk till så många system som möjligt och krypterar hårddisken, så som ett utpressningsprogram gör. Dessutom raderas alla säkerhetskopior av data som hittas.

TrickBot och IcedID: Ett särskilt effektivt banktrojansteam

Det här är inte den enda kombinationen där TrickBot förekommer. Kombinationen med TrickBot och IcedID är lika farlig. Kombinationen av dessa två banktrojaner möjliggör ännu mer riktade attacker mot bankdata. Skadeprogrammet IcedID överförs till offret via exempelvis malspam och öppnas. Detta startar nedladdningen av skadeprogrammet TrickBot. TrickBot kan sedan ägna sig åt sina vanliga spionuppgifter och ta reda på vilka typer av finansiella bedrägerier som kan utföras.

TrickBot och Windows Defender

Skadeprogram som TrickBot har samtidigt hittat sätt att undgå att identifieras av Windows Defender. TrickBot utmärker sig dock genom att det inte bara kan köras under radarn, utan rent av helt kan inaktivera Windows Defender.

Sammanfattning

TrickBot utgör ett hot mot din dator på grund av sin huvudsakliga aktivitet – att stjäla inloggningsuppgifter. Dessutom gör dess förmåga att mutera och de många plugin-program det har med sig att det är en ovälkommen gäst på datorn. TrickBot-attacker är särskilt farliga om det sker tillsammans i kombination med andra skadeprogram. Detta gör det bara ännu viktigare att identifiera den skadliga programvaran så fort som möjligt, genom att ha ett högklassigt säkerhetsprogram och vara mycket uppmärksam. Detta kan förhindra att dörren öppnas för fler skadeprogram.

TrickBot: det mångfacetterade botnätet

Lär dig hur du skyddar dig mot banktrojanen TrickBot. ✓ Känna igen TrickBot ✓ Undvika att inloggningsuppgifter stjäls✓ Eliminera virus
Kaspersky logo

Utvalda inlägg