A számítógépek lelkébe gázol a TrickBot trójai

​A TrickBot trójai veszélyes terepre tévedt, és egyre mélyebb szinten ostromolja a számítógépeket. A legújabb variánsai már a BIOS felé kacsintgatnak.
 

A TrickBot trójai évek óta komoly károkat okoz világszerte. Az általa kiépített botnet sok tízezer számítógépet foglal magában, és jelentős erőforrást képvisel a kiberbűnözők kezében. Az AdvIntel telemetriai adatai szerint az elmúlt két hónapban napi 200-4000 új fertőzést lehetett kimutatni, de volt olyan nap, amikor ez a szám elérte a 40 ezret. Ráadásul a cég adatai csak hálózati szinten mutatják a fertőzéseket, tehát arról nincsenek adatok, hogy a helyi hálózatokon belül átlagosan hány számítógépre tud felkerülni a trójai.
 
Új irányok
 
A TrickBot készítőitől sem áll távol a folyamatos fejlesztés. Az elmúlt időszakban is rendszeresen jelentek meg a károkozó újabb variánsai. A legutóbbiak a botnet bővítése mellett kártékony programok terjesztésébe is bekapcsolódtak. Így például a Ryuk vagy a Conti zsarolóvírusok is számtalan esetben a TrickBot hathatós közreműködésével okoznak károkat.
 
A kártékony program legújabb változata pedig egy további lépést tett annak érdekében, hogy még nehezebben lehessen detektálni. A vírusírók úgy gondolták, hogy elmozdulnak a BIOS/UEFI irányába azért, hogy a kártevő felismerése nehezebbé váljon, és nem utolsó sorban már az operációs rendszer boot folyamatai felett is sikerüljön átvenni az irányítást. Ehhez nem kizárólag saját fejlesztésű kódokat használnak, hanem nyílt forráskódú és egyéb szoftveres összetevőket is. Ilyen módon a TrickBot elkezdett az úgynevezett bootkit programok által kitaposott útra lépni.
 
Az AdvIntel és az Eclypsium cég biztonsági kutatói által részletesen vizsgált TrickBot variáns egyebek mellett az RWEverything (és az RwDrv.sys driver), valamint az fwexpl szoftverkönyvtár révén igyekszik feltérképezni az áldozatául eső számítógépek BIOS-szát. Jelenleg elsősorban azt próbálja kideríteni, hogy az érintett PC-n az UEFI esetében engedélyezett-e az írásvédelem vagy sem. Amennyiben aktív az írásvédelem, akkor megkísérli azt kikapcsolni. Ez esetben azonban a kódjában lévő hiba miatt ez nem minden esetben sikerül számára. Ebből pedig az is látszik, hogy a TrickBot e téren még csak a szárnyait próbálgatja, és egyelőre nem kísérli meg a firmware felülírását vagy manipulálását. A szakemberek szerint azonban ettől már csak egy lépésre van a károkozó.

Lesz ez még rosszabb is?

Amennyiben a TrickBot bootkit képességei valóban kiteljesednek, akkor az jelentős fenyegetést fog jelenteni. Nem kizárólag azért, mert nehezebb lesz detektálni a kártevőt, hanem annak eltávolítása is sok fejtörést okozhat majd, illetve hosszabb idejű leállásokat eredményezhet. Emellett pedig az is elképzelhető, hogy egy zsarolásos támadást követően a nem teljes körű vírusmentesítés hatására a kártevő ismét hadra foghatóvá válhat, ami újabb zsarolásoknak ágyazhat meg.