Trojan.TrickBot

バンキング型トロイの木馬であるTrojan.TrickBotは、世界中で多数の攻撃の原因となっている有名なバンキング型トロイの木馬であるDyreの後継者のようです。確かに、両方のトロイの木馬の間には関係があります。これらの脅威は絶えず進化し、PCセキュリティ研究者によって実装された新しいセキュリティ対策から防御するにつれて新しい機能を獲得します。 Dyrezaとしても知られるDyreは、新しいバンキング型トロイの木馬であるTrojan.TrickBotに進化したようです。

今週のマルウェアエピソード20パート2：個人データを盗むためのトリックボットバンキング型トロイの木馬キャンペーンにリンクされたバザールマルウェア

Trojan.TrickBotは、2016年10月に初めて登場し、当時はオーストラリアの銀行のみを攻撃していました。 2017年4月以降、英国、米国、スイス、ドイツ、カナダ、ニュージーランド、フランス、アイルランドの大手銀行に対する攻撃も報告されています。このトロイの木馬が知られている他の名前には、TheTrick、Trickster、TrickLoader、Trojan.TrickBot.eなどがあります。マルウェアの新しいバージョンの1つは、2017年後半に暗号マイニングが普及した後、暗号ウォレットをターゲットにするように更新されました。バンキング型トロイの木馬の作成者は、マルウェアを自己増殖できるようにする自己拡散コンポーネントをコードに追加しました。明らかに、目標はできるだけ多くのコンピューター、さらにはネットワーク全体をTrojan.TrickBotに感染させることでした。 2018年、Trojan.TrickBotは、さらに幅広い機能を備えて再び登場しました。

TrickBotは他のマルウェアの脅威と協力するのが好きです

2019年1月、研究者は、標的となった被害者が以前にEmotetとTrickBotによって攻撃されたRyukランサムウェアの活発なキャンペーンを発見しました。サイバー犯罪者が最初にスパムメールやさまざまなソーシャルエンジニアリング手法を通じてEmotetを配信したという証拠があります。そのスキームでは、Emotetに感染したコンピューターを使用してTrickBotを配布し、TrickBotから機密情報を盗み出し、攻撃者が被害者が適切な業界ターゲットであるかどうかを判断するのに役立てました。もしそうなら、彼らはRyukランサムウェアを会社のネットワークに配備するでしょう。以前は、2018年5月に、TrickBotは別の銀行のトロイの木馬であるIcedIDとも協力していました。

TrickBotは、単独で作業する場合、通常、マクロが有効になっているMicrosoftOfficeドキュメントを装った破損した電子メールの添付ファイルに拡散します。ファイルが開かれると、悪意のあるスクリプトが実行され、マルウェアが密かにダウンロードされます。 2019年初頭のTrickBotの最新バージョンは、大手金融コンサルティング会社から送信されたふりをした季節をテーマにしたスパムメールで配信されます。電子メールは、特定の米国の税問題の助けを約束して、税関連のコンテンツでユーザーを誘惑します。ただし、開くと、電子メールに添付されたMicrosoft Excelスプレッドシートは、ユーザーのコンピューターにTrickBotをドロップします。

Trojan.TrickBotの前身であるDyreトロイの木馬の簡単な分析

数十万台の感染したコンピューターで構成される大規模なボットネットに関連付けられているDyreトロイの木馬は、2015年11月に世界中の数万台のコンピューターを攻撃しました。1,000を超える銀行や金融機関がDyreによって侵害された可能性があります。この脅威の活動は2015年11月に停止しました。これは、Dyreを担当する詐欺師グループの一部であったロシア企業の事務所の襲撃と同時に発生しました。残念ながら、2015年にDyreの開発に関与していた誰かが、Trojan.TrickBotの開発に参加している可能性があります。

Trojan.TrickBotの進化の監視

Trojan.TrickBotは、オーストラリアのコンピューターユーザーを標的とした脅威キャンペーンで2016年9月に最初に検出されました。影響を受けたオーストラリアの金融機関には、NAB、セントジョージ、ウエストパック、ANZなどがあります。最初のTrojan.TrickBot攻撃には、1つのコレクターモジュールが含まれていました。 Trojan.TrickBotの新しいサンプルも、攻撃にwebinjectが含まれており、まだテスト中であるようです。

PCセキュリティアナリストがTrojan.TrickBotとDyreの間に強いつながりがあると疑う理由はいくつかあります。ほとんどの攻撃に関与するローダーは非常に似ています。脅威をデコードすると、類似点が非常に明白になります。これは、Dyreの開発と実装を担当した詐欺師の多くが再び活動的になり、Dyreの攻撃から1年後に逮捕を免れ、活動を再開したことを意味します。 Trojan.TrickBotは、Dyreの書き直されたバージョンのようで、同じ機能の多くを保持していますが、異なる方法で書かれています。 Dyreと比較すると、Trojan.TrickBotの実装にはC ++に大量のコードが含まれています。 Trojan.TrickBotは、対応する暗号化操作のための組み込み関数ではなく、MicrosoftのCryptoAPIを利用します。以下は、Trojan.TrickBotとDyreの違いです。

• Trojan.TrickBotはコマンドを直接実行しませんが、感染したコンピューターでの永続性を維持するために、COMを使用してタスクスケジューラと対話します。
• Trojan.TrickBotは、組み込みのSHA256ハッシュルーチンまたはAESルーチンを使用するのではなく、Microsoft CryptoAPIを使用します。
• Dyreは主にプログラミング言語Cを使用して記述されていますが、Trojan.TrickBotはコードにC ++の大部分を使用しています。
• Trojan.TrickBotは、大規模な国際銀行を攻撃するだけでなく、ビットコインウォレットからも盗むことができます。
• TrojanTrickBotには、Mimikatzツールを介して電子メールとログイン資格情報を収集する機能があります。
• 新しい機能もTrojan.TrickBotに絶えず追加されています。

ただし、これらの違いは、DyreとTrojan.TrickBotの間に明確な関係があることを示しているように見えますが、Trojan.TrickBotは、実際には、以前の脅威の開発のより進んだ段階を表しています。 Trojan.TrickBotを含むいくつかの他の脅威、関連付けられている脅威ローダー「TrickLoader、」を使用してロードされPushdoと、 CutwailとVawtrakを。特にCutwailは、Dyreの脅威にも関連付けられており、Trojan.TrickBotの責任者である詐欺師が、以前の攻撃で享受していた膨大な機能を再構築しようとしている可能性があります。

運用の詳細

Trojan.TrickBotは、その主な目的がオンラインバンキングのWebサイト、Paypalアカウント、暗号通貨ウォレット、およびその他の金融アカウントや個人アカウントのユーザーログイン資格情報を盗むことであるため、ユーザーのプライバシーにとって深刻な脅威です。このマルウェアは、2つの手法を使用して、被害者をだましてデータを提供させます。最初の手法は静的インジェクションと呼ばれ、正規の銀行Webサイトのログインページを、それを正確にコピーする偽のWebサイトに置き換えることで構成されます。 2番目の方法は動的インジェクションと呼ばれ、ユーザーが標的の銀行Webサイトに属するURLを入力するたびに、被害者のブラウザーをハイジャックし、マルウェアのオペレーターが制御するサーバーにリダイレクトします。いずれの場合も、ユーザーが入力したログインデータがキャプチャされ、Trojan.TrickBotオペレーターに送信され、それぞれ、金融詐欺を犯すために悪用される可能性があります。

Trojan.TrickBotは、いくつかの異なるモジュールと構成ファイルで提供されます。各モジュールは、マルウェアの伝播と永続性の確保、資格情報の盗用など、特定のタスクを実行します。検出を回避するために、悪意のあるモジュールはsvchostを含む正当なプロセスに注入されます。また、TrickBotは、検出される可能性を減らすための別の手段として、WindowsDefenderを無効にして削除しようとします。

Trojan.TrickBotのインストールフォルダはC：\ user \ AppData \ Roaming \％Name％にあり、「％Name％」はマルウェアの特定のバージョンによって異なります。同じフォルダーに、わずかに異なる名前のTrickBotのコピー、settings.iniファイル、およびDataフォルダーもあります。 TrickBotは、スケジュールされたタスクとサービスを作成することにより、その永続性を保証します。タスクの名前はマルウェアの亜種によって異なります。たとえば、「NetvalTask」という名前を付けることができます。レジストリエントリはランダムに生成され、サービスハイブの下に配置されます（例：\ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath）。 Trojan.TrickBotのオペレーターは、マルウェアがハッキングされたワイヤレスルーター上で通信するためのCommand＆Controlサーバーをセットアップします。

TrickBotの新しいバージョンには拡張機能が付属しています

2018年11月、Trojan.TrickBotの更新バージョンがマルウェア市場に登場し、より高度な機能が実証されました。これらの中には、2018年11月より前の数か月に出現したマルウェアの一部のバージョンで観察された画面ロック機能があります。一部の研究者は、この新しいコンポーネントを通じて、マルウェアの作成者は、トロイの木馬が感染したコンピューターから銀行の資格情報を盗み出すことができません。検出を回避するための改善された機能も2018年11月頃に追加されました。それでも、「pwgrab」と呼ばれる新しいパスワード取得モジュールを介して、Trojan.TrickBotの兵器庫にさらに危険な機能が追加されました。マルウェアは、ユーザーのWebサイトのみがアクセスしましたが、人気のあるアプリケーションを乗っ取って、そこから保存されたパスワードを盗むこともできました。それとは別に、TrickBotは、Cookie、検索用語、履歴、CPU情報、実行中のプロセスなどのブラウジングおよびシステムデータの収集も開始しました。さらに、このトロイの木馬は、マシンにインストールされると自分自身を更新する機能を備えています。つまり、感染したコンピューターは、最初の感染がいつ発生したかに関係なく、常に最新バージョンのTrickBotを使用します。

Trojan.TrickBotのさらに別の新しいバージョンは、2019年1月にトレンドマイクロの研究者によって発見されました。この新しい亜種は、仮想ネットワークコンピューティング（VNC）、PuTTY、およびリモートデスクトッププロトコルを対象とするように設計された、TrickBotのパスワード盗用モジュールに3つの新機能を追加しました。 （RDP）プラットフォーム。 TrickBotのpwgrabモジュールは、「％APPDATA％\ Microsoft \ Windows \最近」、「％USERPROFILE％\ Documents」、および「％USERPROFILE％\」内の名前に「.vnc.lnk」を含むファイルを検索することにより、VNCクレデンシャルをキャプチャします。ダウンロード」フォルダ。 PuTTYおよびRDPクレデンシャルを取得するために、TrickBotはSoftware \ SimonTatham \ Putty \ Sessionsレジストリキーを調べ、「CredEnumerateAAPI」を使用して保存されたパスワードを識別して盗みます。次に、RDPクレデンシャルごとに保存されたユーザー名、ホスト名、およびパスワードを識別するために、マルウェアは文字列「target = TERMSRV」を解析します。 TrickBotは、オペレーターのCommand＆Controlサーバーから「dpost」という名前の構成ファイルをダウンロードし、POSTコマンドを使用して、感染したデバイスから収集されたVNC、PuTTY、およびRDPのクレデンシャルを盗み出します。

2019年1月、研究者はTrickBotが他のアクターのサービスとしてのアクセスとしても機能することも発見しました-マシンに感染すると、ボットに変わり、リバースシェルを作成して、他のマルウェアオペレーターが感染したネットワークにアクセスできるようにします自分の悪意のあるペイロードをドロップします。

Trojan.TrickBot攻撃の防止

Trojan.TrickBot攻撃を防ぐ最善の方法は、信頼性が高く、完全に更新されたマルウェア対策プログラムでコンピューターが保護されていることを確認することです。オンラインバンキングのパスワードは強力で、2段階認証を実装する必要があります。オンラインバンキングアカウントを処理するときは注意が必要です。不明なコンピューターでこれらの操作を回避し、更新されたセキュリティアプリケーションを使用してコンピューターを定期的にスキャンして脅威を探します。

SpyHunterはTrojan.TrickBotを検出して削除します