ESET принимает участие в глобальной операции по уничтожению Trickbot, ботнета, который заразил более миллиона компьютеров

Исследователи ESET отслеживают деятельность Trickbot с конца 2016 года. Один из старейших плагинов Trickbot использует веб-инъекции, ориентированные главным образом на финансовые учреждения.

Trickbot крадет учетные данные и недавно развернул программу-вымогатель; ESET Research внесла свой вклад в эту работу с помощью технического анализа.
- Исследователи ESET приняли участие в глобальной операции по разрушению ботнета Trickbot, который с 2016 года заразил более миллиона вычислительных устройств. Наряду с партнерами Microsoft, Lumen'S Black Lotus Labs Threat Research, NTT и другими, операция повлияла на Trickbot, затопив их серверы управления и управления. ESET внесла свой вклад в эти усилия с помощью технического анализа, статистической информации и известных доменных имен серверов управления и управления и IP-адресов. Trickbot известен тем, что крадет учетные данные со скомпрометированных компьютеров, и в последнее время он используется в основном как механизм доставки для более разрушительных атак, таких как программы-вымогатели.
ESET Research отслеживает свою деятельность с момента ее первоначального обнаружения в конце 2016 года. Только в 2020 году платформа ESET botnet tracker проанализировала более 125 000 вредоносных образцов и загрузила и расшифровала более 40 000 конфигурационных файлов, используемых различными модулями Trickbot, что дает отличную точку зрения на различные серверы C&C, используемые этим ботнетом.
“На протяжении многих лет мы отслеживали его, компромиссы Trickbot постоянно сообщались, что делает его одним из самых больших и долгоживущих ботнетов там. Trickbot - одно из самых распространенных семейств банковских вредоносных программ, и этот штамм вредоносных программ представляет угрозу для пользователей интернета во всем мире”,-объясняет Жан-Ян Бутен, руководитель отдела исследований угроз ESET.
На протяжении всего своего существования эта вредоносная программа распространялась различными способами. В последнее время мы часто наблюдаем цепочку, когда Trickbot сбрасывается на системы, уже скомпрометированные Emotet, еще одним крупным ботнетом. В прошлом вредоносная программа Trickbot использовалась ее операторами в основном в качестве банковского трояна, крадущего учетные данные с онлайн-банковских счетов и пытающегося осуществлять мошеннические переводы.


Всемирные обнаружения Trickbot телеметрией ESET в период с октября 2019 по октябрь 2020 года

Один из самых старых плагинов, разработанных для платформы, позволяет Trickbot использовать web injects, метод, позволяющий вредоносному ПО динамически изменять то, что пользователь скомпрометированной системы видит при посещении определенных веб-сайтов. "Благодаря нашему мониторингу кампаний Trickbot мы собрали десятки тысяч различных конфигурационных файлов, что позволило нам узнать, какие сайты были нацелены операторами Trickbot. Целевые URL-адреса в основном принадлежат финансовым институтам", - добавляет Бутин.
"Попытка разрушить эту неуловимую угрозу очень сложна, поскольку она имеет различные резервные механизмы, а ее взаимосвязь с другими высокоактивными киберпреступными субъектами в подполье делает общую операцию чрезвычайно сложной”, - заключает Бутен.
Для получения более подробной технической информации о Trickbot читайте полный текст сообщения в блоге "ESET принимает участие в глобальной операции по разрушению Trickbot” на сайте WeLiveSecurity. Следите за последними новостями ESET Research в Twitter.

Материал подготовлен  Eset NOD32