Riesen-Botnetz lahmgelegt

Vom Banking-Trojaner zur Multifunktions-Malware

Der Schadcode wurde jahrelang sehr erfolgreich auf unterschiedlichste Weise verbreitet. Seit kurzem beobachteten die Eset-Sicherheitsexperten eine neue Entwicklung: Trickbot wurde vorzugsweise auf Systemen installiert, die bereits mit dem bekannten Schadcode Emotet infiziert und schon Teil dessen Botnets waren.
Weltweite TrickBot-Erkennungen zwischen Oktober 2019 und Oktober 2020
Quelle: Welivesecurity/Eset
In der Vergangenheit setzten die Betreiber die Trickbot-Malware primär als Banking-Trojaner ein. Ziel war der Diebstahl von Zugangsdaten von Online-Bankkonten und die Durchführung von betrügerischen Überweisungen. In der jüngsten Zeit war ein neuer Trend zu verzeichnen. Die Cyberkriminellen erweiterten ihr Portfolio und nutzten die bestehende Cybercrime-Infrastruktur für gezielte Ransomware-Angriffe auf Unternehmen und Organisationen.

Trickbot-Infektionsmethodik

Eines der ältesten Plugins ermöglicht Trickbot die Verwendung von sogenannten Web-Injects. Die Technik befähigt die Malware, die Darstellung von Webseiten dynamisch zu verändern, wenn der Benutzer eines infizierten Rechners diese besucht. «Durch die Analyse vieler Trickbot-Kampagnen haben wir zehntausende unterschiedlicher Konfigurationsdateien identifiziert. Daher wissen wir, auf welche Webseiten es die Betreiber abgesehen haben. Die meisten der URLs gehörten Finanzinstituten», fügt Boutin hinzu.
«Die Aktivitäten von Cybercrime-Netzwerken wie Trickbot zu unterbinden, sind äusserst schwierig», führt Boutin weiter aus. Die Täter verfügten über unterschiedlichste Fallback-Mechanismen und seien zudem mit anderen cyberkriminellen Akteuren gut vernetzt. «Schläge gegen derartige Netzwerke durchzuführen, sind daher hochgradig komplex angelegte Operationen», ist er überzeugt.
Mehr über die Operation Trickbot ist in diesem Blogbeitrag von Eset zu erfahren.






Das könnte Sie auch interessieren