Tarnung als Excel-Datei
Trickbot wird zumeist getarnt als Excel-Datei per E-Mail verteilt. Will der Nutzer das Dokument öffnen, gibt dieses vor, mit einer älteren Software-Version erstellt worden zu sein. Um diese mit der eigenen verwendeten Version kompatibel zu machen, werden entsprechende Berechtigungen gefordert, wie com-magazin.de dazu berichtete.
Wie Fortinet dazu erklärt beginnt damit das Verhängnis für den Nutzer, wenn er dieser Forderung nachkommt. Im Hintergrund wird der Trojaner auf das System geladen. Nach verschiedenen Zwischenschritten mit harmlos anmutenden Dateinamen kopiert sich der Schadcode selbst in den "Task Scheduler" des Systems. Nach kurzer Zeit schon sendet das Programm eine Anfrage an den Server der Angreifer, um ein weiteres Modul auf dem System des Opfers zu installieren. Dieses heißt je nach System pwgrab32 oder pwgrab64. Die Kriminellen können damit nicht nur Passwörter und Anmeldedaten abgreifen, sondern auch noch weitere Daten extrahieren.
Laut Trend Micro sind folgende Tools betroffen:
- Microsoft Outlook
- Filezilla
- WinSCP
- Google Chrome
- Mozilla Firefox
- Internet Explorer
- Microsoft Edge
Das Fatale an Trickbot ist, dass er sich durch die Verbindung mit dem Comand-and-Controll-Server der Angreifer fortwährend aktualisiert. Dazu lädt die Malware kontinuierlich neue Module nach, so Trend Micro.
Passwörter in Passwortmanagern gelten als sicher
Positiv sei einzig die Tatsache, dass Trickbot auf die Passwörter, die in Passwortmanagern von Drittanbieter gespeichert sind, nicht zugreifen kann. Ob auch Kennwörter sicher sind, die sich in Browser-Plugins von Passwortmanagern befinden, wird derzeit noch überprüft, so Trend Micro.
Der Trojaner verwendet verschiedene Methoden, um von Virenscannern unentdeckt zu bleiben. Den Nutzern bleibt nur, E-Mails und deren Anhänge von unbekannten Absendern nicht zu öffnen. Dasselbe gilt für unerwartete Anhänge in den Mails vermeintlich bekannter Kontakte.
Verlangt eine angehängte Datei beim Öffnen Berechtigungen, um Makros auszuführen, sollte der Nutzer hellhörig werden und die Datei samt zugehöriger Nachricht umgehend löschen.