Wat doet de malware en hoe kun je jezelf beschermen?

Zoals eerder gemeld, gebruiken cybercriminelen de Corona-pandemie steeds vaker als trigger voor hun aanvallen. Onlangs heeft Microsoft geanalyseerd dat TrickBot een van de meest productieve malware is die via e-mail naar Microsoft 365 gebruikers wordt gestuurd. Als onderdeel van een recente campagne werd een groot aantal e-mails verzonden namens een niet bestaande liefdadigheidsorganisatie die naar verluidt gratis Covid 19 tests aanbiedt – de bijlage bevatte een bestelformulier dat besmet was met de malware TrickBot.

Hornetsecurity legt daarom via deze weg uit hoe TrickBot-aanvallen zich gedragen en hoe ertegen te beschermen.

Wat is TrickBot?

TrickBot is een modulair kwaadaardig programma dat oorspronkelijk werd gebruikt als een online bank-trojan, maar nu is uitgegroeid tot een universele aanvalstool. Naast een onderdeel voor fraude met online bankieren, maken ook modules voor het bespioneren van toegangsgegevens van webbrowsers, e-mailprogramma’s en andere toepassingen deel uit van de inventaris.

In de meeste gevallen slaat de malware toe via een geïnfecteerde e-mailbijlage en wordt geïnfiltreerd via Emotet. Zodra het document is geopend, wordt het kernonderdeel van TrickBot geactiveerd: the loader. Hierdoor worden in eerste instantie de Windows-services en lopende processen van Windows Defender en verschillende andere antivirusprogramma’s uitgeschakeld.

In de volgende stap probeert TrickBot administratieve rechten te verkrijgen zodat alle daaropvolgend geladen modules met hoge rechten kunnen worden uitgevoerd, bijvoorbeeld om de toegangsgegevens te lezen die zijn opgeslagen in de Local Security Authority (LSA).

TrickBot spioneert vervolgens informatie over het systeem en het netwerk, afhankelijk van de geladen module. Alle verzamelde gegevens worden door de malware verzonden aan de cybercriminelen, die nu kunnen analyseren of verdere acties de moeite waard zijn.

Tegelijkertijd, dankzij de gespioneerde toegangsgegevens uit de LSA, verspreidt TrickBot zich automatisch over het netwerk.

TrickBot verschijnt vaak in een bijzonder gevaarlijke malwarecombinatie met Emotet en Ryuk, die tot doel hebben alle gevoelige bestanden in het systeem te versleutelen en ze alleen weer vrij te geven in ruil voor losgeld.

Wat gebeurt er in de huidige Coronavirus campagne?

Zowel Microsoft als het Hornetsecurity Security Lab hebben opgemerkt dat Microsoft 365 mailboxen steeds vaker het doelwit worden van corona-gerelateerde cyberaanvallen. Een analyse toont nu aan dat TrickBot in dit verband bijzonder productief blijkt te zijn: een lopende e-mailcampagne in naam van een fictieve hulporganisatie belooft gratis Covid 19 tests. Ontvangers zouden ze alleen kunnen aanvragen via een bijgevoegd document.

Als het bestand wordt geopend, wordt de malware uitgevoerd. De macro wacht 20 seconden voordat de kwaadaardige modules opnieuw worden geladen om niet op te vallen in sandbox-analyses.

Afhankelijk hoe lucratief het doelwit wordt geëvalueerd door de analyse van TrickBot, kunnen andere kwaadaardige componenten zoals Ryuk worden gedownload om gevoelige gegevens te versleutelen.

Waarom zijn Microsoft 365 mailboxen een populair doelwit?

Het aantal gebruikers van Microsoft 365 groeit snel – door de huidige situatie kan ook worden aangenomen dat de groei opnieuw zal versnellen, aangezien veel bedrijven medewerkers die thuiswerken uitrusten met cloud services van Microsoft. Microsoft 365 wordt echter ook een populair doelwit voor cybercriminelen vanwege het toenemende aantal gebruikers. Alleen al in 2019 verviervoudigde het aantal aanvallen op de e-mailaccounts van gebruikers.

Het probleem is dat Microsoft 365-gebruikers gemakkelijk te identificeren zijn omdat de MX-records en autodiscover-records openbaar beschikbaar zijn op het net. Gebruikers moeten de beveiligingsmechanismen van Microsoft vertrouwen, maar als een aanvaller toegang krijgt tot een Microsoft 365-account, zijn alle gegevens onbeperkt voor hem beschikbaar. Als zelfs een beheerdersaccount wordt overgenomen, kan de aanvaller zelfs gegevens verkrijgen van alle gebruikers in het bedrijf.

Hoe kun je jezelf beschermen tegen een TrickBot-infectie?

De beschreven TrickBot aanval heeft niet alleen gevolgen voor de mailboxen van Microsoft 365, maar is wijd verspreid naar potentieel lucratieve doelen en is representatief voor een groot aantal aanvallen die volgens een vergelijkbaar patroon werken. Nu rijst de vraag: hoe kun je jezelf beschermen tegen dergelijke methoden?

Het belangrijkste is dat de schadelijke e-mails worden onderschept door geavanceerde spam- en malwarefilters. Inkomende e-mails moeten verschillende filterfasen doorlopen voordat ze als correct worden herkend en bij de mailserver van de klant worden afgeleverd of in quarantaine terechtkomen.

Bovendien moet ervoor worden gezorgd dat wachtwoorden alleen worden opgeslagen in een wachtwoord manager, omdat TrickBot wachtwoorden steelt die rechtstreeks worden opgeslagen in applicaties zoals de webbrowser. Het wordt ook aanbevolen om tweefactor authenticatie te gebruiken voor services die deze functie aanbieden. Want als wachtwoorden worden gestolen, kunnen cybercriminelen niets met de informatie doen.

Evenzo minimaliseert de beperking van toegangsrechten in het netwerk het risico van verdere verspreiding.

Microsoft 365 gebruikers dienen zich hiervan ook bewust te zijn: om de kans om het doelwit te worden van dergelijke aanvallen te verkleinen, is het logisch om Microsoft 365 accounts te beveiligen met een extra oplossing van derden naast de beveiligingsmethodes van Microsoft. Gespecialiseerde providers verbergen de Microsoft DNS- en MX-records, waardoor Microsoft 365 gebruikers voor aanvallers erg moeilijk te identificeren zijn.

Sommige leveranciers maken zelfs volledige versleuteling mogelijk van de mailboxgegevens die in de cloud zijn opgeslagen, waardoor ze worden beschermd tegen spionage, zelfs als de account hijacking succesvol is.