Trickbot Banking-Trojaner

Schutz gegen die Trickbot Malware

23. Januar 2019, von in IT-Sicherheit

Bei Trickbot handelt es sich um einen Banking-Trojaner, der seit Beginn immer wieder weiterentwickelt wurde. Seit dem Jahr 2016 ist die gefährliche Malware in Umlauf und greift gezielt Unternehmen sowie Privatpersonen an.

Und auch die neueste Variante des Trojaners hat es in sich. Wir verraten, warum Trickbot so gefährlich ist und wie Sie sich und Ihre Daten bestmöglich schützen können.

Trickbot – der Banking-Trojaner, der dazulernt

Reine Bankdaten abgreifen ist das eine, zusätzlich Login-Daten inklusive Passwörter weiterer Anwendungen ausspähen, das andere. Die aktuellste Version von Trickbot kann beides. Wie Sicherheits-Experten von Trend Micro und Fortinet berichten, ist derzeit eine Variante unterwegs, die es neben Bankdaten auch auf die Passwörter und Benutzernamen zahlreicher weiterer Programme abgesehen hat. Bedeutet im Klartext: ist der Rechner infiziert, kann es ganz schnell sehr unangenehm und vor allem sehr teuer werden.

trickbot malware

Trickbot startete als klassischer Banking-Trojaner
© Pixabay

Trickbot Malware erkennen

Traditionell kommt der Trojaner in Gestalt einer augenscheinlich normalen Word- oder Excel-Datei. Die E-Mail dazu ist häufig nicht sofort als gefährlich zu erkennen. Teilweise in perfektem Deutsch formuliert, suggeriert sie, im Anhang eine Rechnung mitzusenden oder tarnt sich gar als Nachricht von realen Geschäftspartnern. Die Datei im Anhang selbst gibt dann vor, mit einer älteren Office-Version erstellt worden zu sein und fordert den Nutzer dazu auf, die Funktion „Enable Content“ zu aktivieren. Und genau das ist der Dreh- und Angelpunkt der Masche hinter der Malware. Bestätigt der Nutzer die Aktivierung, werden entsprechende Makros ausgeführt, die den Trojaner im Hintergrund herunterladen und installieren.

Neu ist jetzt, dass Trickbot selbst nach kurzer Zeit eigenständig ein weiteres Modul nachlädt, das dann vollständige Login-Daten abgreifen und an den Angreifer-Server senden. Der Name dieses Moduls lautet pwgrab und soll erst vergangenen Herbst entwickelt worden sein. Zusätzlich zu Benutzerdaten und Passwörtern liest pwgrab beispielsweise auch Autofill-Informationen aus dem Browser sowie dessen Historie und gesetzte Cookies. Das gilt übrigens nicht nur für den immer als Sicherheitsrisiko dargestellten Internet Explorer, sondern auch für seine vermeintlich sicheren Kollegen Microsoft Edge, Google Chrome und Firefox.

Trickbot in Kombination mit Emotet und Ryuk

Die Trickbot Malware ist aktuell ein besonders heißes Thema, weil sie derzeit in Kombination mit Emotet und Ryuk zahlreiche Unternehmen angreift. Emotet fungiert in diesem Trio als klassischer Trojaner, der den beiden anderen Tür und Tor öffnet, Trickbot späht Kontodaten aus und um den Schaden bestmöglich zu maximieren, verschlüsselt Ryuk schließlich die Festplatte, löscht gefundene Datensicherungen und fordert ein horrendes Lösegeld. Tatsächlich harmloser kommen andere Trickbot-Angriffe daher. In einigen Fällen werden auch „nur“ zusätzlich E-Mail-Adressen abgegriffen, die dann Opfer mehrere Spam-Wellen werden. So oder so: Sie sollten sich und Ihr Unternehmen schützen.

Schutz vor Trickbot & Co. – unsere Checkliste

Im Folgenden verrät Ihnen unsere Checkliste, wie Sie sich präventiv vor Angriffen durch Trickbot und ähnliche Trojaner schützen. Einige Punkte sorgen zusätzlich für maximale Schadensbegrenzung, sollten Sie Opfer eines Angriffs geworden sein.

  • halten Sie alle Arbeitsplätze inklusive aller installierten Programme und Anwendungen sicherheitstechnisch immer auf dem neuesten Stand (Stichwort Update-/Patch-Management)
  • lassen Sie eine professionelle Anti-Virus-Software installieren
  • lassen Sie regelmäßig vollständige Datensicherungen durchführen
  • sensibilisieren Sie Ihre Mitarbeiter für das Thema – vor allem Kollegen aus den Bereichen Empfang, Buchhaltung/Controlling und Personalwesen
  • weisen Sie Ihre Mitarbeiter an, keinesfalls die Zustimmung zur Aktivierung von Makros zu erteilen, wenn sie dazu aufgefordert werden. Fehlt diese nämlich, sind Trickbot und Co. komplett machtlos.
  • Verbieten Sie die Autofill-Funktion bei browserbasierten Logins
  • Setzen Sie Passwort-Manager ein und schulen Sie Ihre Mitarbeiter entsprechend in der Anwendung

border_color

IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!

Sie benötigen Unterstützung bei der Optimierung Ihrer IT-Sicherheit? Wir helfen Ihnen schnell weiter.

Jetzt Kontakt aufnehmen!

0 Kommentare
Schlagworte:
, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.