Новый ботнет Trickbot заразил более миллиона пользователей во всем мире

Компания ESET — лидер в области информационной безопасности — приняла участие в глобальной операции по выявлению ботнета Trickbot, который с 2016 года заразил более миллиона устройств. В сотрудничестве с Microsoft, Lumen's Black Lotus Labs Threat Research, NTT и другими компаниями удалось обнаружить командные серверы (C&C) ботнета. Вкладом специалистов ESET в ход операции стал технический анализ, статистическая информация, известные доменные имена и IP-адреса C&C серверов.

Стоит отметить, что Trickbot известный своими кражами учетных данных со скомпрометированных компьютеров. Однако в последнее время он использовался в основном как механизм распространения более опасных угроз, например, программ-вымогателей.

Активность ботнета специалисты ESET отслеживают с момента его первого обнаружения в конце 2016 года. Только за 2020 год платформа ESET для отслеживания ботнетов проанализировала более 125 000 вредоносных образцов, загрузила и расшифровала более 40 000 файлов конфигурации, которые использувались различными модулями Trickbot. Это позволило получить полную информацию о различных C&C серверах ботнета.

«В течение нескольких лет наблюдения за Trickbot случаи инфицирования фиксировались постоянно, что делает его одним из крупнейших и дольше всего существующих ботнетов. Trickbot — одно из самых распространенных семейств вредоносных банковских программ, а этот тип угрозы представляет опасность для пользователей во всем мире», — объясняет Жан-Ян Бутин, руководитель исследовательской лаборатории ESET.

За время своего существования Trickbot распространялся различными способами. Недавно это вредоносное программное обеспечение загружалось в системы уже зараженные другим крупным ботнетом Emotet. Тогда как раньше киберпреступники использовали Trickbot в основном как банковский троян, похищая учетные данные для входа в Интернет-банкинг и пытаясь осуществить мошеннические переводы.

Выявление Trickbot согласно данным телеметрии ESET в период с октября 2019 года по октябрь 2020 года

Активность ботнета Trickbot за последние 12 месяцев – исследование ESET.

Один из старых плагинов позволяет Trickbot использовать технику, которая предусматривает динамическое изменение того, что видит пользователь инфицированной системы во время посещения определенных сайтов. «Благодаря нашим исследованиям мы собрали десятки тысяч различных файлов конфигурации, что позволило нам выяснить, на какие сайты нацелены киберпреступники. Эти URL-адреса в основном принадлежат финансовым учреждениям», добавляет Жан-Ян Бутин.

«Попытка раскрыть эту неуловимую угрозу является настоящим вызовом, поскольку она имеет различные резервные механизмы, и ее взаимосвязь с другими активными киберпреступниками делает общую операцию чрезвычайно сложной», — делает вывод руководитель исследовательской лаборатории ESET.

Более детальный анализ угрозы можно найти по ссылке.