Trickbotマルウェアはトロイの木馬ファミリーに属します スパイウェア、主に銀行セクターの目標に対して採用されています。
その最初の登場は2016年にさかのぼり、その目標は米国、カナダ、イギリス、ドイツ、オーストラリア、オーストラリア、アイルランド、スイスなどのいくつかの州で確認されています。
マルウェアは、開発に関する限り、CPU、レジスタ、メモリに直接アクセスできる言語のXNUMXつであるC ++で記述されています。
Trickbotは、Windowsプラットフォームでのみ機能するトロイの木馬です。 マルウェアがPCに感染すると、そのタスクは資格情報と銀行情報を盗むことですが、一般的にファイルやデータをエクスポートするためにも使用できます。
マルウェアは、まず、感染するシステム内のコードをロードし、%APPDATA%フォルダー内に自身のレプリカを作成して、元のファイルを削除する機能を備えています。
したがって、個人データや銀行の認証情報などの機密情報を(ブラウザで収集された情報を使用して)収集し、それらを引き出してメールアドレスを取り出すこともできます。
C2チェーンを通じて、新しいバージョンに更新したり、データを引き出したりすることができます。 C2チェーンに使用されるチャネルは、対称暗号化(AES CBC 256ビット)で暗号化されています。
資格情報を収集する目的で、ユーザーを偽のWebサイトにリダイレクトすることができます。
Trickbotは、TA505やWizard Spiderなどの一部のグループで採用されています。
32ビットシステムと64ビットシステムには、さまざまなバージョンのマルウェアがあります。
感染経路は通常、キャンペーン中にメールで受信したアクティブなマクロを含むWordファイルです。 スピアフィッシング.
%APPDATA%フォルダーを見て、XNUMXつの典型的なTrickbotファイルの存在を確認するだけで、手動モードでシステム上のTrickbotの存在を特定できます。
-感染したユーザーの識別データを含むclient_id。
--group_tag。感染キャンペーンの識別データが含まれています。
同じフォルダに、元のファイルから元々コピーされたTrickbot実行可能ファイルがあります。
代わりに、C2システムに向けて作成されたトラフィックは暗号化(SSL)されているため、現時点では自動トラフィック分析システムを介してその存在を特定する方法はないようです。
代わりに、メモリを分析することで識別できますが、異なるバージョンが異なるトレースを残すことを考慮する必要があります。
Trickbotを削除するには、一部のソフトウェアを「malwarebytes」と呼ぶか、オペレーティングシステムのバージョンに応じて手動で続行する必要があります。不可能ではありませんが、簡単ではありません。
Trickbotはフィッシングやスピアフィッシングキャンペーンを通じて拡散するマルウェアであるため、受信するメールに細心の注意を払い、「疑わしいメールやファイルを開かない」という健全な原則を採用することは非常に重要です。
Trickbotは、マルウェアと同様に、システムのセキュリティホールを悪用します。
自分自身を保護するために、特に管理アカウントの正しい使用に関連して、使用中のシステムの正しい構成で十分な場合があります。
特にセキュリティの基礎となるオペレーティングシステムに関しては、親会社のサポートの対象となるソフトウェアとシステムの使用もお勧めします。
「エンドポイントの検出と応答」の使用は、スタッフがそれらを処理できる限り、役立ちます。
もっと知ることができます。
- https://fraudwatchinternational.com/malware/trickbot-malware-works/
- https://attack.mitre.org/software/S0266/
- https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-...
- https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-repor...
- https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
- https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain...
