Od listopada 2020 roku cyberprzestępcy, za pomocą znanego trojana bankowego Trickbot, przeprowadzają działania mające za cel przejęcie danych klientów światowych korporacji, m.in. Amazona, Microsoftu, Google czy PayPala. Jak do tej pory popularny malware zainfekował ponad 140 tys. komputerów, na całym świecie, wynika z analiz Check Point Research.

Trickbot jest obecnie drugim najpowszechniejszym typem malware’u w skali globalnej (z wpływem na co najmniej 2,2 % organizacji) i czwartym najczęściej wykrywanym w Polsce - w styczniu 2022 roku wykryto go w około 1,8 %. polskich sieci firmowych. Zdaniem specjalistów ds. cyberbezpieczeństwa, narzędzie to doskonale radzi sobie z naruszaniem i wykradaniem wrażliwych danych.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Dotychczas udokumentowano ataki na klientów 60 korporacji z całego świata. Wg specjalistów Trickbot wybiera swoje cele bardzo selektywnie, potrafiąc jednocześnie sprawnie ukryć się przed mechanizmami antywirusowymi. Infrastruktura Trickbota może być też wykorzystywana przez inne rodziny złośliwego oprogramowania (jak np. Emotet czy różne warianty ransomware) do generowania jeszcze większych szkód na zainfekowanych urządzeniach.

„Udokumentowaliśmy ponad 140 000 zainfekowanych maszyn należących do klientów największych i najbardziej renomowanych firm na świecie. Trickbot atakuje m.in. znane ofiary, aby wykraść dane uwierzytelniające i zapewnić swoim operatorom dostęp do portali z poufnymi danymi, na których mogą wyrządzić jeszcze większe szkody. Jednocześnie wiemy, że operatorzy infrastruktury mają duże doświadczenie w tworzeniu złośliwego oprogramowania na wysokim poziomie. Połączenie tych dwóch czynników sprawia, że Trickbot pozostaje niebezpiecznym zagrożeniem już od ponad 5 lat. Gorąco zachęcam wszystkich użytkowników do otwierania dokumentów tylko z zaufanych źródeł i używania różnych haseł na różnych stronach internetowych” – ostrzega Alexander Chailytko, kierownik ds. cyberbezpieczeństwa, badań i innowacji w Check Point Software Technologies.

Kampanie zaczynają się od bazy skradzionych e-maili, pod które hakerzy wysyłają złośliwe dokumenty. Gdy użytkownik otworzy dokument pobierany jest główny ładunek Trickbota, który instalowany jest na komputerze. Dzięki zaawansowanym kodom, malware potrafi doskonale stawić opór systemom bezpieczeństwa. To jednak nie wszystko, cyberprzestępcy mogą zdalnie uruchamiać dodatkowe moduły, które pozwalają na dalsze eksplorowanie komputerów i sieci firmowych. Ich funkcje są różne: mogą przykładowo rozprzestrzeniać malware dzięki zhakowanej sieci firmowej, kraść dane uwierzytelniające czy przechwytywać dane logowania do stron bankowych. Do tej pory potwierdzono 20 modułów rozwijających możliwości Trickbota.