Distri-Award
– Jetzt zur Umfrage!

Suchen
Company Topimage

12.05.2020

Malware-Kampagne mit TrickBot im Gepäck

Hornetsecurity erläutert, wie sich TrickBot-Attacken verhalten und wie man sich davor schützen kann.

 

Wie bereits zuvor berichtet, nutzen Cyberkriminelle immer häufiger die Corona-Pandemie als Aufhänger für ihre Angriffe. Vor kurzem hatte Microsoft analysiert, dass TrickBot zu den produktivsten Schadprogrammen gehört, die in diesem Zusammenhang an Nutzer von Microsoft 365 per E-Mail verschickt werden. Im Rahmen einer aktuellen Kampagne wurde eine große Anzahl E-Mails im Namen einer nichtexistierenden Wohltätigkeitsorganisation verschickt, die angeblich kostenlose Covid-19-Tests anbietet — im Gepäck ein mit der Malware TrickBot verseuchtes Bestellformular.

Hornetsecurity erläutert daher aus gegebenem Anlass, wie sich TrickBot-Attacken verhalten und wie sich davor geschützt werden kann.

Was ist TrickBot?

TrickBot ist ein modulares Schadprogramm, das ursprünglich als Online-Banking-Trojaner eingesetzt wurde, sich aber mittlerweile zu einem universellen Angriffswerkszeug entwickelt hat. Neben einer Komponente für den Online-Banking-Betrug gehören unter anderem Module zum Ausspähen von Zugangsdaten aus Webbrowsern, E-Mail-Programmen und weiteren Anwendungen zum Inventar.

In den meisten Fällen schlägt die Malware mittels infiziertem E-Mail-Anhang zu und wird per Emotet eingeschleust. Ist das Dokument einmal geöffnet, aktiviert sich die Kernkomponente von TrickBot: der Loader. Dieser deaktiviert zunächst die Windows-Dienste und laufende Prozesse von Windows Defender und verschiedener anderer Antivirus-Programme.

Im nächsten Schritt versucht TrickBot administrative Rechte zu erlangen, sodass alle nachfolgend geladenen Module mit hohen Rechten ausgeführt werden können und sich damit beispielsweise die in der Local Security Authority (LSA) gespeicherten Zugangsdaten auslesen lassen.

TrickBot späht dann je nach geladenem Modul Informationen über das System und das Netzwerk aus. Alle gesammelten Daten übermittelt die Malware an die Cyberkriminellen, die nun analysieren können, ob sich weitere Aktionen lohnen.

Gleichzeitig breitet sich TrickBot, dank der aus der LSA ausgespähten Zugangsdaten, automatisiert im Netzwerk aus.

TrickBot taucht häufig in einer besonders gefährlichen Malware-Kombination mit Emotet und Ryuk auf, die darauf abzielt, alle sensiblen Dateien im System zu verschlüsseln und höchstens gegen Lösegeldzahlungen wieder freizugeben.

Was passiert bei der aktuellen Corona-Kampagne?

Sowohl Microsoft als auch das Hornetsecurity Security Lab konnten beobachten, dass Microsoft 365-Postfächer zunehmend das Ziel von Cyberattacken mit Corona-Bezug werden. Eine Analyse zeigt nun, dass sich TrickBot in diesem Zusammenhang als besonders produktiv erweist: So verspricht eine aktuelle E-Mail-Kampagne im Namen einer fiktiven Hilfsorganisation kostenlose Covid-19-Tests. Die Empfänger müssten diese lediglich über ein angehängtes Dokument anfragen.

Öffnet man die Datei, wird die Malware ausgeführt. Das Makro wartet mit dem Nachladen seiner schädlichen Module 20 Sekunden, um in Sandbox-Analysen nicht auffällig zu werden.

Je nachdem wie lukrativ das getroffene Ziel durch die Analyse von TrickBot bewertet wird, können weitere schädliche Komponenten wie Ryuk zur Verschlüsselung sensibler Daten nachgeladen werden.

Warum sind Microsoft 365-Postfächer ein beliebtes Ziel?

Die Nutzerzahlen von Microsoft 365 wachsen rasant — aufgrund der aktuellen Situation kann zudem davon ausgegangen werden, dass sich das Wachstum noch einmal beschleunigen wird, denn viele Unternehmen statten ihre Mitarbeiter im Home Office mit den cloudbasierten Diensten von Microsoft aus. Microsoft 365 wird durch die steigenden Nutzerzahlen allerdings auch zu einem beliebten Angriffsziel für Cyberkriminelle. Allein 2019 vervierfachte sich die Zahl der Attacken auf die E-Mail-Konten der Nutzer.

Problematisch ist, dass Microsoft 365-User leicht zu identifizieren sind, denn die MX-Records und Autodiscover-Einträge sind im Netz öffentlich einsehbar.
Nutzer müssen auf die Sicherheitsmechanismen von Microsoft vertrauen, doch erlangt ein Angreifer trotzdem Zugriff auf einen Microsoft 365-Account, stehen ihm alle Daten uneingeschränkt zur Verfügung. Sollte gar ein Administrator-Account übernommen werden, kann der Angreifer sich sogar Daten aller Anwender im Unternehmen beschaffen.

Wie kann man sich vor einer TrickBot-Infektion schützen?

Die beschriebene TrickBot-Attacke trifft nicht nur Microsoft 365-Postfächer, sondern wird breit an potenziell lukrative Ziele gestreut und steht stellvertretend für eine Vielzahl an Angriffen, die nach einem ähnlichen Muster agieren. Nun stellt sich die Frage: Wie kann man sich vor solchen Methoden schützen?

Am wichtigsten ist, dass die schädlichen E-Mails mit fortschrittlichen Spam- und Malware-Filtern abgefangen werden. Hierbei müssen eingehende E-Mails mehrere Filterstufen durchlaufen, bevor sie entweder als korrekte E-Mail erkannt und an den Mailserver des Kunden zugestellt werden oder in der Quarantäne landen.

Zusätzlich sollte sichergestellt werden, dass Passwörter lediglich in einem Passwort Manager abgespeichert werden, da TrickBot Passwörter stiehlt, die direkt in Anwendungen wie dem Web Browser gespeichert sind. Empfehlenswert ist in diesem Zusammenhang auch die Verwendung von Zwei-Faktor-Authentisierung, bei Diensten, die diese Funktion anbieten. Denn kommt es doch zum Passwortdiebstahl, können Cyberkriminelle mit den Informationen nichts anfangen. 

Ebenfalls minimiert die Beschränkung von Zugriffsrechten im Netzwerk das Risiko einer weiteren Ausbreitung.

Für Microsoft 365-Nutzer gilt außerdem zu beachten: Damit die Wahrscheinlichkeit sinkt, überhaupt ins Visier solcher Attacken zu geraten, ist es sinnvoll, die Microsoft 365-Accounts neben den Microsoft-Schutzmechanismen mithilfe einer zusätzlichen Drittanbieter-Lösung abzusichern. Spezialisierte Anbieter verbergen die Microsoft-DNS- und MX-Records, wodurch Microsoft 365-Nutzer für die Angreifer nur noch sehr schwer zu identifizieren sind.

Einzelne Anbieter ermöglichen sogar die vollständige Verschlüsselung der in der Cloud gespeicherten Postfachdaten, die so auch bei erfolgreichem Account Hijacking vor Ausspähung geschützt sind.

Weitere Informationen gibt es hier: Hornetsecurity.com

 

(Photo by Rock'n Roll Monkey on Unsplash)