Android: trojan Trickbot powraca. Teraz wirus jest jeszcze groźniejszy

Trojan Trickbot nie jest nowym szkodliwym oprogramowaniem. Po raz pierwszy został znaleziony pięć lat temu, na komputerach domowych. Wówczas jego głównym zadaniem była kradzież danych logowania do usług bankowości internetowej. Obecnie jest zaawansowanym, wielofunkcyjnym narzędziem modułowym.

Podobnie jak w przeszłości, tak i teraz głównym celem trojana jest dalsze rozprzestrzenianie się w celu znalezienia podatnych komputerów. Kiedyś już uda mu się taki znaleźć i zadomowi się na urządzeniu ofiary, hakerzy mogą go wykorzystać do różnych zadań. Biorąc pod uwagę obecną listę zdolności, mają szerokie pole do popisu.

Jak podaje zespół Kaspersky, nowa wersja Trickbota jest w stanie zbierać nazwy użytkowników, skróty haseł i inne informacje przydatne do ruchu bocznego w sieci z Active Directory i rejestru, ale także pozyskuje dane logowania przydatne w aplikacjach czy bankowości elektronicznej. To nie koniec, bowiem trojan przechwytuje ruch sieciowy, umożliwia oszustom zdalne sterowanie urządzeniami za pośrednictwem protokołu VNC.

Lista jego zdolności na tym się nie kończy. Trickbot kradnie pliki cookie z przeglądarek, przechwytuje dane autouzupełniania z przeglądarek i informacje wprowadzane przez użytkowników w formularzach na stronach internetowych. Bez problemu potrafi skanować pliki na serwerach FTP i SFTP, a następnie osadzać szkodliwe skrypty na witrynach.

Z pomocą Trickbota, oszuści mogą przekierowywać ruch przeglądarki przez lokalny serwer proxy, przejmować interfejsy API odpowiedzialne za weryfikację łańcucha certyfikatów w celu sfałszowania wyników weryfikacji oraz wyszukiwać usługi OWA i łamać do nich dostęp metodą siłową. Co ciekawe, trojan także uzyskuje dostęp do sprzętu na niskim poziomie i zapewnia na nim dostęp hakerom.

Przy tak rozległej liście nie dziwi, że Trickbot może również skanować domeny w poszukiwaniu luk w zabezpieczeniach oraz tworzyć połączenia VPN. Dodatkowo samodzielnie wyszukuje adresy serwerów SQL i wykonuje na nich zapytania wyszukiwania. Zespołowi Kaspersky udało się stwierdzić, że trojan rozprzestrzenia się poprzez exploity EternalRomance i EternalBlue.

Podobnie jak w przypadku innych trojanów, zespół Kaspersky zaleca zachowanie szczególnej ostrożności przez użytkowników. Sprawdzajmy zawsze czy pliki, które pobieramy z internetu pochodzą ze sprawdzonego źródła. Nie klikajmy także w podejrzane załączniki w mailach oraz wiadomościach, nawet tych pochodzących od znajomych.