是什么让 TrickBot 僵尸网络如此危险?除了银行木马 Emotet(后来已变得无害)和 Retefe 之外,TrickBot 也会对您的计算机构成威胁。TrickBot 和该恶意软件背后的僵尸网络给网络安全专家带来了挑战。
自 2016 年以来,TrickBot 一直被网络犯罪分子用来渗透其他人的计算机,以窃取机密的私人数据。这些网络攻击的受害者不仅包括公司,也包括个人。自 2016 年被发现以来,该恶意软件的范围和功能都出现了大幅增长。重点不再仅仅是盗窃数据 - TrickBot 现在还可以更改网络流量并进一步传播。一旦该恶意软件进入系统并感染计算机,TrickBot 就会为更多恶意软件打开后门。
TrickBot 特别危险和具有破坏性,因为它具有变异能力,而且现在附带了许多插件。与其他木马恶意软件类似,TrickBot 也擅长规避受害者的检测。因此,只有通过密切关注,并使用最好的安全软件,比如 Kaspersky Anti-Virus ,才能检测和消除它。
银行木马 TrickBot 如何传播
最初,TrickBot 经常通过网络钓鱼电子邮件进入系统。这涉及发送来自知名机构和公司的、假装真实的虚假邮件,这些邮件通常包含一个附件。电子邮件请求 TrickBot 攻击的受害者打开附件或链接,从而导致设备被感染。打开附件会导致下载恶意软件。也可能通过其他方式发生 TrickBot 感染,例如,通过恶意更新或通过最终设备上已有的恶意软件。一旦恶意软件进入计算机,并且能够保存用户的数据,其主要目标之一是尽可能长时间地保持隐藏。
TrickBot 攻击是怎样运作的?
在 TrickBot 攻击中,Windows 服务和 Windows Defender 或其他防病毒软件的活动将首先被终止。然后它会使用各种方法来扩展权限。由此产生的管理权限可以被更多插件使用,这些插件由恶意软件自动加载。随后,TrickBot 对系统和网络进行窥探,并收集用户的数据。恶意软件收集的信息随后被转发给外部设备,或转发给攻击背后的网络犯罪分子。
银行木马对受害者和最终设备会造成什么后果?
“Win 32/TrickBot.AK”病毒会导致在未经用户同意的情况下存储数据,并监视最终设备的用户。例如,获取数据的一个可能的方法是,显示由于恶意软件而显示的虚假对话框字段。TrickBot 本身并不存储按键操作或记录屏幕截图。该木马能够连接到远程服务器,它是一组自动化恶意软件(被称为僵尸网络)的一员。TrickBot 不会影响笔记本电脑的性能,也不会导致电脑不响应命令。但是,TrickBot 可负责发起 DDoS 攻击(分布式拒绝服务)。在这种情况下,来自大量计算机的大量定向请求将导致服务出现中断。TrickBot 恶意软件的其他功能包括在受感染的计算机中下载恶意软件、自我传播以及为黑客创造攻击点。
检测 TrickBot 并移除银行木马
要检测 TrickBot 感染,需要保持警惕。例如,感染该恶意软件的潜在迹象可能是:未经授权尝试登录在线帐户。攻击的受害者有时可以因网络基础架构发生变化而获得提醒。感染恶意软件的一个后期致命迹象也可能是:在没有您的参与下进行的银行转账。恶意软件可以将自己伪装成一个合法的计算机进程或普通文件。这使得它几乎无法被检测到,而删除看起来可疑的文件会对计算机造成不可修复的损害。由于 TrickBot 是一个窃取数据的木马,您应尽快修复它造成的损害。反恶意软件产品(比如 Kaspersky 的产品)是实现此目标的最佳方法。检测 TrickBot 感染和移除该银行木马都是非常耗时的过程。
撞库攻击和其他攻击 - TrickBot 攻击的后果
如前所述,TrickBot 的目的是窃取登录数据,并因此开展所谓的撞库攻击。撞库攻击指的是网络犯罪分子用来盗用在线帐户的一种方法。最初,金融机构(特别是银行)被认为是 TrickBot 木马的主要目标。网络犯罪分子通过窃取私人凭据来未经授权访问个人帐户。例如,此帐户随后可以用来进行银行转账。除了密码和用户名之外,TrickBot 还能够获得浏览器的自动填充信息以及历史记录和存储的 Cookie。
TrickBot 攻击的典型后果
TrickBot 攻击的受害者通常必须应对一系列典型的后果。一方面,他们的帐户被网络犯罪分子接管。一旦发生这种情况,黑客通常会索要赎金,以释放帐户或文件。最后同样重要的是,勒索软件可以传播到受感染设备上的其他文件。
对抗 TrickBot:如何最好地保护自己免受攻击
- 使用专业的防病毒软件或木马扫描程序。
- 检查垃圾邮件时要小心谨慎。不要打开可疑的或看起来可疑的电子邮件或其附件。还要向员工指出,他们在任何情况下都不能同意激活宏。
- 计算机上的软件应该始终保持最新。
- 在更新软件时要保持警惕。
- 使用官方供应商(而不是第三方供应商)提供的软件,并在下载时拒绝附加程序包。
尽管采取了无数预防措施,但总是存在着残余风险,木马仍有可能感染您的计算机。因此,不要忽视定期的数据备份。
TrickBot 与其他恶意软件的组合
Emotet、TrickBot 和 Ryuk - 对您的数据来说是致命的组合
好事成三 - 尽管对于 Trickbot、Emotet 和 Ryuk 的组合,这种说法的含义完全相反。这三个恶意软件的组合特别危险,与之相比,单个 TrickBot 攻击造成的损害看起来像是完全无害。这三个程序可以无缝协作,从而使损害最大化。Emotet 代表了侵袭的开始,它可执行木马的典型任务,为 TrickBot 和 Ryuk 打开大门,从而为犯罪分子提供入侵机会。下一步,攻击者使用 TrickBot 以获取受感染系统的信息,并以最佳方式在网络中对该木马进行自我分发。在最后一步,加密木马 Ryuk 放置在尽可能多的系统中,并根据勒索软件的操作,对硬盘进行加密。此外,发现的任何数据备份也将被删除。
TrickBot 和 IcedID:特别高效的银行木马组合
这并不是包含 TrickBot 的唯一组合。TrickBot 和 IcedID 的组合同样危险。这两个银行木马的组合对银行数据提供了更有针对性的攻击。例如,IcedID 恶意软件通过恶意垃圾邮件传输给受害者,并打开。这将启动 TrickBot 恶意软件的下载。然后,TrickBot 可以执行常见的窥探任务,并确定可以进行什么样的金融欺诈。
TrickBot 和 Windows Defender
同时,TrickBot 这样的恶意软件已经找到了规避 Windows Defender 检测的方法。但是,TrickBot 的特殊之处在于,它不仅能够在运行时规避检测,甚至还能完全禁用 Windows Defender。
总结
TrickBot 对您的计算机构成威胁,因为它的核心活动是窃取凭据。但是,除此之外,它还具有易变性,且附带了众多插件,因此,您的最终设备需要尽量避免被其感染。当 TrickBot 攻击与其他恶意软件一起出现时,后果尤为致命。考虑到这一点,您必须尽快使用优秀的安全软件并采用警惕的态度,以检测出恶意软件。这可以防止为更多恶意软件打开大门。