Trik baru Trojan Trickbot
Tepat lima tahun yang lalu, pada Oktober 2016, pertama kali menemukan Trojan bernama Trickbot (alias TrickLoader atau Trickster), sebagian besar ditemukan di komputer rumahan saat itu, tugas utamanya adalah mencuri data penting layanan perbankan online. Namun, dalam beberapa tahun terakhir, penciptanya telah secara aktif mengubah Trojan menjadi alat modular multifungsi.
Trickbot sekarang populer di kalangan kelompok penjahat dunia maya sebagai sarana pengiriman malware pihak ketiga ke dalam infrastruktur perusahaan. berita terbaru melaporkan bahwa penulis Trickbot telah terhubung dengan berbagai mitra baru untuk menggunakan malware untuk menginfeksi infrastruktur perusahaan dengan semua jenis ancaman tambahan, seperti Conti ransomware.
Bahaya yang dapat ditimbulkan bagi karyawan pusat keamanan dan cyber scurity lainnya. Beberapa solusi keamanan dapat mengenali Trickbot sebagai Trojan, sesuai dengan spesialisasi aslinya. Oleh karena itu, petugas keamanan siber yang mendeteksinya mungkin melihatnya sebagai ancaman pengguna rumahan acak yang secara tidak sengaja menyelinap ke jaringan perusahaan. Faktanya, kehadirannya di sana dapat mengindikasikan sesuatu yang jauh lebih serius, upaya injeksi ransomware atau bahkan bagian dari operasi spionase siber yang ditargetkan.
Apa yang bisa dilakukan Trickbot sekarang?
Tujuan utama Trickbot modern adalah untuk menembus dan menyebar di jaringan lokal. Operatornya kemudian dapat menggunakannya untuk berbagai tugas, mulai dari menjual kembali akses ke infrastruktur perusahaan hingga penyerang pihak ketiga, hingga mencuri data sensitif. Inilah yang sekarang dapat dilakukan malware:
- Memiliki informasi nama pengguna, hash kata sandi, dan informasi lain yang berguna untuk pergerakan l dalam jaringan dari Active Directory dan registri;
- Mencegat lalu lintas web di komputer yang terinfeksi;
- Menyediakan kontrol perangkat jarak jauh melalui protokol VNC;
- Mencuri cookie dari browser;
- Ekstrak kredensial masuk dari registri, basis data berbagai aplikasi dan file konfigurasi, serta mencuri kunci pribadi, sertifikat SSL, dan file data untuk database cryptocurrency;
- Mencegat data isi otomatis dari browser dan informasi yang dimasukkan pengguna ke dalam formulir di situs web;
- Pindai file di server FTP dan SFTP;
- Memasukkan skrip berbahaya di halaman web;
- Arahkan ulang lalu lintas browser melalui proxy lokal;
- Membajak API yang bertanggung jawab atas verifikasi sertifikat untuk memalsukan hasil verifikasi;
- Kumpulkan kredensial profil Outlook, cegat email di Outlook, dan kirim spam melaluinya;
- Cari layanan OWA dan paksakan;
- Dapatkan akses tingkat rendah ke perangkat keras;
- Menyediakan akses ke komputer di tingkat perangkat keras;
- Mescan domain untuk mengetahui kerentanan;
- Temukan alamat server SQL dan jalankan kueri pencarian data;
- Menyebar melalui eksploitasi EternalRomance dan EternalBlue;
- Buat koneksi VPN.
Bagaimana menjaga terhadap Trojan Trickbot
Statistik menunjukkan bahwa sebagian besar deteksi Trickbot tahun ini terdaftar di AS, Australia, Cina, Meksiko, dan Prancis. Namun bukan berarti wilayah lain aman, apalagi mengingat kesiapan penciptanya untuk berkolaborasi dengan penjahat siber lainnya.
Untuk mencegah perusahaan Anda menjadi korban Trojan ini, kami menyarankan Anda melengkapi semua perangkat yang terhubung ke Internet dengan solusi keamanan berkualitas tinggi. Selain itu, ada baiknya menggunakan layanan pemantauan ancaman siber untuk mendeteksi aktivitas mencurigakan di infrastruktur perusahaan.
Sumber: https://www.kaspersky.com/blog/trickbot-new-tricks/42622/