Die berüchtigte TrickBot-Malware hat es auf die Kunden von 60 Finanz- und Technologieunternehmen abgesehen, darunter auch Kryptowährungsfirmen, die hauptsächlich in den USA ansässig sind, obwohl ihre Betreiber das Botnetz mit neuen Anti-Analyse-Funktionen aktualisiert haben.
„TrickBot ist eine ausgeklügelte und vielseitige Malware mit mehr als 20 Modulen, die bei Bedarf heruntergeladen und ausgeführt werden können“, so die Check Point Forscher Aliaksandr Trafimchuk und Raman Ladutska in einem heute veröffentlichten Bericht.
TrickBot ist nicht nur weit verbreitet und hartnäckig, sondern hat auch seine Taktik ständig weiterentwickelt, um Sicherheits- und Erkennungsmechanismen zu umgehen. Zu diesem Zweck nutzt das „injectDll“-Webinjektionsmodul der Malware, das für den Diebstahl von Bank- und Anmeldedaten verantwortlich ist, Anti-Defuskationstechniken, um die Webseite zum Absturz zu bringen und Versuche zu vereiteln, den Quellcode zu untersuchen.
Außerdem wurden Anti-Analyse-Leitplanken eingerichtet, um zu verhindern, dass Sicherheitsforscher automatisierte Anfragen an Command-and-Control (C2)-Server senden, um neue Webinjects abzurufen.
Eine weitere Stärke von TrickBot ist seine Fähigkeit, sich selbst zu verbreiten. Dazu nutzt er das „tabDLL“-Modul, um die Anmeldedaten der Benutzer zu stehlen und die Malware über eine SMBv1-Netzwerkfreigabe mit Hilfe des EternalRomance-Exploits zu verbreiten.
Ein drittes wichtiges Modul, das im Rahmen von TrickBot-Infektionen eingesetzt wird, ist „pwgrabc“, ein Modul zum Stehlen von Anmeldeinformationen, das Passwörter aus Webbrowsern und einer Reihe anderer Anwendungen wie Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN und TeamViewer stiehlt.
„TrickBot greift hochrangige Opfer an, um die Zugangsdaten zu stehlen und seinen Betreibern Zugang zu den Portalen mit sensiblen Daten zu verschaffen, wo sie größeren Schaden anrichten können“, so die Forscher und fügten hinzu: „Die Betreiber hinter der Infrastruktur sind auch sehr erfahren in der Entwicklung von Malware auf hohem Niveau.“
Die Erkenntnisse kommen auch deshalb, weil bekannt wurde, dass die TrickBot-Bande für ihre Bazar-Familie Metaprogrammierungsmethoden einsetzt, um ihren Code zu verschleiern und sich gegen Reverse Engineering zu schützen.