Nem lehet megállítani a Trickbot trójait

A Trickbot trójai elleni összehangolt fellépés ellenére a kártékony program minden korábbinál több számítógépet fertőz meg.
 

A Trickbot első variánsai 2016-ban kezdték fertőzni a számítógépeket azzal a céllal, hogy bizalmas adatokat lopjanak. A károkozó az évek során az egyik leghíresebb banki trójai programmá nőtte ki magát, miközben a terjesztői több millió számítógépre juttatták fel a nemkívánatos szerzeményt. Így aztán nem csoda, hogy a hatóságok összehangolt akciók keretében igyekeztek megbénítani azt az Emotet nevű botnet hálózatot, amely egyebek mellett a Trickbot szaporításából is hathatósan vette ki a részét. A legutóbbi ilyen akcióra idén januárban került sor. Akkor a botnet jelentősen meggyengült, de sajnos ez nem igazán hatotta meg a Trickbot mögött meghúzódó kiberbandát. Az ugyanis, mintha mi sem történt volna, folytatta a kártevő fejlesztését és terjesztését. Az elmúlt hónapokban folyamatosan növelte a befolyását a trójai, oly annyira, hogy a Check Point felmérése szerint májusban már a legfertőzőbb kártékony programnak számított.
 
A Trickbot fejlődését tulajdonképpen az összes antivírus fejlesztő nyomon követi, hogy a rendszeresen megjelenő újabb és újabb variánsokra minél előbb tudjanak reagálni, és olyan frissítéseket tudjanak kiadni, amik védelmet nyújtanak a károkozó ellen. Ennek az évek óta folyó macska-egér harcnak egyelőre nem látszik a vége. Ráadásul a Trickbot banda valóban intenzíven fejleszti a kártevőt.
 
VNC-s újdonság
 
A Bitdefender biztonsági kutatói szerint a Trickbot május óta elsősorban a távoli megfigyelés terén fejlődött jelentős mértékben. A kártevő már 2018 óta tartalmaz egy olyan VNC-alapú modult, amivel a fertőzött számítógépek megfigyelhetővé, adott esetben kontrollálhatóvá válhatnak. A legújabb Trickbot variáns ezt a modult cserélte le egy újabbra, ami a tvncDLL nevet kapta. Ennek működése során már virtuális asztalok is szerephez jutnak, és a támadók tulajdonképpen mindent láthatnak az áldozatul eső számítógépeken.
 
A vírusírók az új VNC modult egy új hálózati kommunikációs eljárással is ötvözték, hogy a felderítésük még nehezebbé váljon. Ennek keretében egy saját, egyedi kommunikációs protokollt dolgoztak ki, amelynek detektálására, elemzésére a biztonsági megoldások még nem állnak készen. Az adatkommunikáció pedig a szokványos, 443-as porton keresztül történik titkosított módon (jelenleg) kilenc proxy szerveren keresztül.
 
A Bitdefender kutatói kiemelték, hogy a legújabb Trickbot a webböngészőkből történő adatkinyerés terén is bevezettet néhány újdonságot, de ezek még inkább csak szárnypróbálgatásnak tekintendők. Azonban azt már előrevetítik, hogy a közeljövőben a Trickbot a böngészős adatlopás terén biztosan komolyabb fejlesztésen fog átesni.
 
A Trickbot ellen elsősorban naprakészen tartott, korszerű, többrétegű vírusvédelemmel lehet felvenni a küzdelmet, de természetesen a biztonságtudatos számítógéphasználatnak is komoly szerepe van a károkok megelőzésében.