Компанія ESET — лідер у галузі інформаційної безпеки — взяла участь у глобальній операції з викриття ботнета Trickbot, який з 2016 року інфікував понад мільйон пристроїв. У співпраці з Microsoft, Lumen’s Black Lotus Labs Threat Research, NTT та іншими компаніями вдалося виявити командні сервери (C&C) ботнета. Внеском спеціалістів ESET у хід операції став технічний аналіз, статистична інформація, відомі доменні імена та IP-адреси C&C серверів.
Варто відзначити, що Trickbot відомий своїми крадіжками облікових даних зі скомпрометованих комп’ютерів. Однак останнім часом він використовувався здебільшого як механізм поширення більш небезпечних загроз, наприклад, програм-вимагачів.
Активність ботнета спеціалісти ESET відстежують з моменту його першого виявлення наприкінці 2016 року. Тільки за 2020 рік платформа ESET для відстеження ботнетів проаналізувала понад 125 000 шкідливих зразків, завантажила та розшифрувала понад 40 000 файлів конфігурації, які використовуються різними модулями Trickbot. Це дозволило отримати повну інформацію про різні C&C сервери ботнета.
«Протягом кількох років спостереження за Trickbot випадки інфікування фіксувалися постійно, що робить його одним з найбільших та найдовше існуючих ботнетів. Trickbot – одне з найпоширеніших сімейств шкідливих банківських програм, а цей тип загрози становить небезпеку для користувачів у всьому світі», — пояснює Жан-Ян Бутин, керівник дослідницької лабораторії ESET.
За час свого існування Trickbot поширювався різними способами. Нещодавно це шкідливе програмне забезпечення завантажувалося у системи вже інфіковані іншим великим ботнетом — Emotet. Тоді як раніше кіберзлочинці використовували Trickbot здебільшого як банківський троян, викрадаючи облікові дані для входу в Інтернет-банкінг та намагаючись здійснити шахрайські перекази.
Виявлення Trickbot за даними телеметрії ESET у період з жовтня 2019 року до жовтня 2020 року
Один з найстаріших плагінів дозволяє Trickbot використовувати техніку, яка передбачає динамічну зміну того, що бачить користувач інфікованої системи під час відвідування певних веб-сайтів. «Завдяки нашим дослідженням ми зібрали десятки тисяч різних файлів конфігурації, що дозволило нам з’ясувати, на які веб-сайти націлені кіберзлочинці. Ці URL-адреси в основному належать фінансовим установам», — додає Жан-Ян Бутин.
«Спроба викрити цю невловиму загрозу є справжнім викликом, оскільки вона має різні резервні механізми, і її взаємозв'язок з іншими активними кіберзлочинцями робить загальну операцію надзвичайно складною», — робить висновок керівник дослідницької лабораторії ESET.
Більш детальний аналіз загрози можна знайти за посиланням.