Trickbot Banking-Trojaner

Schutz gegen die Trickbot Malware

Von in IT-Sicherheit
23
Jan
'19

Bei Trickbot handelt es sich um einen immer wieder weiterentwickelten Banking-Trojaner. Seit dem Jahr 2016 ist die gefährliche Malware in Umlauf und greift Unternehmen an.

Und auch die neueste Variante des Trojaners hat es in sich. Wir verraten, warum Trickbot so gefährlich ist und wie Sie Ihre Daten bestmöglich schützen können.

Trickbot – der Banking-Trojaner, der dazulernt

Reine Bankdaten abgreifen ist das eine, zusätzlich Login-Daten inklusive Passwörter weiterer Anwendungen ausspähen, das andere. Die aktuellste Version von Trickbot kann beides. Wie Sicherheits-Experten von Trend Micro und Fortinet berichten, ist derzeit eine Variante unterwegs, die es neben Bankdaten auch auf die Passwörter und Benutzernamen zahlreicher weiterer Programme abgesehen hat. Bedeutet im Klartext: ist der Rechner infiziert, kann es ganz schnell sehr unangenehm und vor allem sehr teuer werden.

trickbot malware

Trickbot startete als klassischer Banking-Trojaner
© Pixabay

Trickbot Malware erkennen

Traditionell kommt der Trojaner in Gestalt einer augenscheinlich normalen Word- oder Excel-Datei. Die E-Mail dazu ist häufig nicht sofort als gefährlich zu erkennen. Teilweise in perfektem Deutsch formuliert, suggeriert sie, im Anhang eine Rechnung mitzusenden oder tarnt sich gar als Nachricht von realen Geschäftspartnern. Die Datei im Anhang selbst gibt dann vor, mit einer älteren Office-Version erstellt worden zu sein und fordert den Nutzer dazu auf, die Funktion „Enable Content“ zu aktivieren. Und genau das ist der Dreh- und Angelpunkt der Masche hinter der Malware. Bestätigt der Nutzer die Aktivierung, werden entsprechende Makros ausgeführt, die den Trojaner im Hintergrund herunterladen und installieren.

Neu ist jetzt, dass Trickbot selbst nach kurzer Zeit eigenständig ein weiteres Modul nachlädt, das dann vollständige Login-Daten abgreifen und an den Angreifer-Server senden. Der Name dieses Moduls lautet pwgrab und soll erst vergangenen Herbst entwickelt worden sein. Zusätzlich zu Benutzerdaten und Passwörtern liest pwgrab beispielsweise auch Autofill-Informationen aus dem Browser sowie dessen Historie und gesetzte Cookies. Das gilt übrigens nicht nur für den immer als Sicherheitsrisiko dargestellten Internet Explorer, sondern auch für seine vermeintlich sicheren Kollegen Microsoft Edge, Google Chrome und Firefox.

Trickbot in Kombination mit Emotet und Ryuk

Die Trickbot Malware ist aktuell ein besonders heißes Thema, weil sie derzeit in Kombination mit Emotet und Ryuk zahlreiche Unternehmen angreift. Emotet fungiert in diesem Trio als klassischer Trojaner, der den beiden anderen Tür und Tor öffnet, Trickbot späht Kontodaten aus und um den Schaden bestmöglich zu maximieren, verschlüsselt Ryuk schließlich die Festplatte, löscht gefundene Datensicherungen und fordert ein horrendes Lösegeld. Tatsächlich harmloser kommen andere Trickbot-Angriffe daher. In einigen Fällen werden auch „nur“ zusätzlich E-Mail-Adressen abgegriffen, die dann Opfer mehrere Spam-Wellen werden. So oder so: Sie sollten sich und Ihr Unternehmen schützen.

Schutz vor Trickbot & Co. – unsere Checkliste

Im Folgenden verrät Ihnen unsere Checkliste, wie Sie sich präventiv vor Angriffen durch Trickbot und ähnliche Trojaner schützen. Einige Punkte sorgen zusätzlich für maximale Schadensbegrenzung, sollten Sie Opfer eines Angriffs geworden sein.

  • Halten Sie alle Arbeitsplätze inklusive aller installierten Programme und Anwendungen sicherheitstechnisch immer auf dem neuesten Stand (Stichwort Update-/Patch-Management).
  • Lassen Sie eine professionelle Antivirus-Software installieren.
  • Lassen Sie regelmäßig vollständige Datensicherungen durchführen.
  • Sensibilisieren Sie Ihre Mitarbeiter für das Thema – vor allem Kollegen aus den Bereichen Empfang, Buchhaltung/Controlling und Personalwesen.
  • Weisen Sie Ihre Mitarbeiter an, keinesfalls die Zustimmung zur Aktivierung von Makros zu erteilen, wenn sie dazu aufgefordert werden. Fehlt diese nämlich, sind Trickbot und Co. komplett machtlos.
  • Verbieten Sie die Autofill-Funktion bei browserbasierten Logins.
  • Setzen Sie Passwort-Manager ein und schulen Sie Ihre Mitarbeiter entsprechend in der Anwendung.

Unsere IT-Dienstleister in Ihrer Nähe können Ihnen noch viele weitere hilfreiche Tipps geben. Auf Wunsch sichern sie Ihre IT-Landschaft auch bestmöglich vor Eindringlingen wir Trickbot ab.

Update vom 05.02.2021: Trickbot ist zurück

Fast schon wägte man sich in Sicherheit: Im Oktober 2020 konnte eine von Microsoft durchgeführte Aktion die Infrastruktur hinter dem Trickbot-Malware-Botnet stoppen. Jetzt scheint es allerdings so, als hätte Trickbot nur eine Pause eingelegt: Sicherheitsforscher von Menlo Security haben in Nordamerika eine neue Spam-Kampagne entdeckt, bei der Trickbot zum Einsatz kommt.

Die Hintermänner sind offenbar dabei, eine neue Bot-Infrastruktur aufzubauen. Dazu schreiben die Sicherheitsforscher: „Obwohl die Maßnahmen von Microsoft und seinen Partnern lobenswert waren und die Aktivität von Trickbot auf ein Rinnsal gesunken ist, scheinen die Bedrohungsakteure motiviert genug zu sein, um ihre Operationen wieder aufzunehmen und von der aktuellen Bedrohungslage zu profitieren.“

Schlimm genug, dass Trickbot wieder auf der Bildfläche erschienen ist. Gleichzeitig wirft die Rückkehr aber auch die Frage auf, wie es bei anderer Malware weitergehen mag, die eigentlich als gestoppt gilt. Zuletzt war ein Angriff gegen Emotet geglückt, die „König der Schadsoftware“ wurde als tot erklärt. Die neuen Entwicklungen könnten bedeuten, dass auch in diesem Fall durchaus eine Wiedergeburt droht.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor
label

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.