Trickbot feiert Comeback

Die Malware Trickbot ist mit einer neuen Kampagne zurück – nur wenige Monate, nachdem ihre Operationen von einer Koalition aus Cybersecurity- und Technologieunternehmen unter Federführung von Microsoft gestoppt wurden.

Ursprünglich als Banking-Trojaner gestartet, entwickelte sich Trickbot zu einer sehr beliebten Form von Malware unter Cyber-Kriminellen, insbesondere weil seine modulare Natur viele verschiedene Arten von Angriffen ermöglichte. Dazu gehören der Diebstahl von Anmeldedaten und die Fähigkeit, sich im Netzwerk zu verbreiten und die Infektion weiter zu verbreiten.

Trickbot wurde sogar zum Lader für andere Formen von Malware. Cyberkriminelle nutzten bereits durch Trickbot kompromittierte Rechner, um andere bösartige Nutzdaten zu übermitteln, darunter auch Ransomware.

Im Oktober letzten Jahres wurde die Infrastruktur hinter dem Trickbot-Malware-Botnet durch eine von Microsoft durchgeführte Aktion gestoppt. Jetzt scheint das Botnet jedoch wieder zum Leben erwacht zu sein, da Forscher von Menlo Security eine laufende Malware-Kampagne identifiziert haben, die die Merkmale früherer Trickbot-Aktivitäten aufweist.

Diese Angriffe scheinen im Moment ausschließlich auf Rechts- und Versicherungsunternehmen in Nordamerika abzuzielen. In Phishing-E-Mails werden potenzielle Opfer aufgefordert, auf einen Link zu klicken, der sie auf einen Server umleitet, von dem eine bösartige Nutzlast heruntergeladen wird.

Viele dieser E-Mails behaupten, dass der Anwender in einen Verkehrsverstoß verwickelt war, und weisen ihn auf einen Download des „Beweises“ für sein Vergehen hin – ein Social-Engineering-Trick, mit dem Menschen überrumpelt und in Panik versetzt werden können, damit sie den Download durchführen. In diesem Fall handelt es sich bei dem Download um ein Zip-Archiv, das eine bösartige Javascript-Datei enthält – eine typische Technik, die von Trickbot-Kampagnen eingesetzt wird – die sich mit einem Server verbindet, um die endgültige Malware-Nutzlast herunterzuladen.

Die Analyse dieser Nutzlast zeigt, dass sie sich mit Domains verbindet, die für die Verbreitung von Trickbot-Malware bekannt sind, was darauf hindeutet, dass sie wieder aktiv ist und eine Bedrohung für Unternehmensnetzwerke darstellen könnte.

„Wo ein Wille ist, ist auch ein Weg. Dieses Sprichwort trifft mit Sicherheit auf die bösen Akteure zu, die hinter den Operationen von Trickbot stehen“, sagt Vinay Pidathala, Director of Security Research bei Menlo Security. „Obwohl die Maßnahmen von Microsoft und seinen Partnern lobenswert sind und die Trickbot-Aktivitäten auf ein Rinnsal gesunken waren, scheinen die Bedrohungsakteure motiviert genug zu sein, ihre Operationen wieder aufzunehmen und von der aktuellen Bedrohungslage zu profitieren“, fügte er hinzu.

Eine Empfehlung des britischen National Cyber Security Centre (NCSC) zu Trickbot rät Unternehmen, die neuesten unterstützten Versionen von Betriebssystemen und Software zu verwenden und Sicherheits-Patches anzuwenden, um zu verhindern, dass Trickbot und andere Malware bekannte Schwachstellen zur Verbreitung ausnutzen.

Es wird auch empfohlen, dass Unternehmen eine Zwei-Faktor-Authentifizierung im gesamten Netzwerk einsetzen, damit sich die Malware im Falle einer Kompromittierung eines Rechners nicht weiter verbreiten kann.

Das Beispiel Trickbot zeigt, wie schwer es ist, Malware-Netzwerke dauerhaft auszuschalten. Mit einem baldigen Comeback von Emotet ist leider auch zu rechnen. Das Kelihos-Botnet hat sogar drei Takedown-Versuche überlebt, wurde von Grund auf neu aufgebaut und funktioniert weiterhin.