Trickbot wird über URL-Weiterleitung in Spam-Mails verbreitet

Originalbeitrag von Miguel Ang, Threats Analyst



Sicherheitsforscher von Trend Micro haben eine Variante des Trickbot-Bankentrojaners (TrojanSpy.Win32.TRICKBOT.THDEAI) gefunden, die eine Umleitungs-URL in einer Spam-Mail nutzt. Die Cyberkriminellen verwendeten im aktuellen Fall eine Google-Umleitungs-URL, um ahnungslose Benutzer zu täuschen und von der eigentlichen Absicht der Hyperlinks abzulenken. Da die URL von einer bekannten Website stammt, verleiht sie der E-Mail und der Weiterleitung mehr Authentizität. Das Ziel ist eine Trickbot Download Site. Die Tricks sind zwar nicht neu, doch die Techniken zur Vermeidung der Erkennung sind raffinierter geworden.

Auf den ersten Blick wirkt die Spam-Mail legitim und umfasst sogar Social Media-Icons. Der Inhalt dreht sich um einen ausgeführten Auftrag, der zur Lieferung bereitsteht. Es werden Details wie Frachtnummer des Pakets, Lieferschein und Kontaktinformationen des Verkäufers angezeigt. Im aktuellen Fall wurde Google eingesetzt, um von der URL hxxps://google[.]dm:443/url?q=<trickbot downloader> umzuleiten, wobei die URL im Abfrage-String url?q=<url> bösartig ist. Die Umleitungs-URL stellt eine Möglichkeit dar, Spam-Filter zu umgehen, die eventuell Trickbot blockieren könnten.

Bild 1. Spam E-Mail mit Umleitungs-URL

Der Browser zeigt eine Weiterleitungsnachricht an, sodass der Nutzer zu einem Link mit einer „Auftragsüberprüfung“ geleitet wird.

Bild 2. Umleitungsnachricht

Nach der Bestätigung der Umleitung durch Anklicken des Links wird der Nutzer zur bösartigen Website weitergeleitet, die darüber informiert, dass die Bestellung in drei Sekunden verfügbar sei. Stattdessen wird eine zip-Datei heruntergeladen mit einem Visual Basic Script (VBS), dem Trickbot Downloader. Nach der Ausführung verfolgt Trickbot seine bösartigen Routinen. Aufgrund der modularen Struktur kann der Trojaner je nach den Modulen, die er herunterlädt und installiert, schnell neue Funktionen bereitstellen und leicht austauschen, um so maßgeschneiderte Angriffe zu ermöglichen. Weitere Einzelheiten enthält der Originalbeitrag.

Trickbot nutzt eine Vielfalt von Übertragungswegen, wie etwa Makros, passwortgeschützte Dokumente und Links. Die gefundenen Varianten beinhalten Fähigkeiten für den Diebstahl von Anmeldeinformationen aus vielen Anwendungen bis hin zur Erkennungsvermeidung und und Sperren des Bildschirms.

Verteidigungsmaßnahmen gegen Trickbot

Die Weiterentwicklung von Trickbot geht über die eines typischen Bankentrojaners hinaus, und es ist nicht zu erwarten, dass die Malware in absehbarer Zeit verschwinden wird. Beispielsweise wurde Trickbot auch als Payload in Angriffen wie die von Emotet entdeckt. Cyberkriminelle, die auf Trickbot setzen, nutzen in erster Linie Phishing-Techniken, um Nutzer dazu zu bewegen, Anhänge herunterzuladen und bösartige Sites zu besuchen.

Als Schutz vor dieser Art von Bedrohungen sollten Unternehmen folgende Best Practices befolgen:

  • Achten Sie auf verräterische Anzeichen von Spam, etwa verdächtige Absenderadressen und deutliche grammatikalische Fehler.
  • E-Mail-Anhänge aus nicht überprüften Quellen auf keinen Fall öffnen.
  • Führen von umfassenden Logs über die Vorgänge im Netzwerk, so dass IT-Mitarbeiter verdächtige Aktivitäten wie den Traffic von bösartigen URLs verfolgen können.
  • Überwachen des Netzwerks auf potenzielle Bedrohungen, um bösartige Aktivitäten zu identifizieren, die herkömmliche Sicherheitslösungen möglicherweise nicht erkennen können.

Benutzer und Unternehmen können eine mehrschichtige Verteidigung aufbauen, um das Risiko durch Bedrohungen wie Trickbot möglichst gering zu halten. Empfehlenswert ist eine Endpoint-Anwendungskontrolle, die die Angriffsfläche reduziert, indem sie sicherstellt, dass nur Dateien, Dokumente und Updates in Applikationen oder Sites installiert, heruntergeladen oder angesehen werden können, die in Whitelists vorhanden sind.

Endpoint-Lösungen, unterstützt durch XGen™ security, wie Trend Micro™ Smart Protection Suites, Trend Micro Worry-Free™ Business Security und Trend Micro Network Defense können bösartige Dateien und URLs erkennen und die Systeme der Nutzer schützen.

Der Originalbeitrag umfasst auch Indicators of Compromise (IoCs).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.