Bei Trickbot handelt es sich um einen Banking-Trojaner, der seit Beginn immer wieder weiterentwickelt wurde. Seit dem Jahr 2016 ist die gefährliche Malware in Umlauf und greift gezielt Unternehmen sowie Privatpersonen an.
Und auch die neueste Variante des Trojaners hat es in sich. Wir verraten, warum Trickbot so gefährlich ist und wie Sie sich und Ihre Daten bestmöglich schützen können.
Trickbot – der Banking-Trojaner, der dazulernt
Reine Bankdaten abgreifen ist das eine, zusätzlich Login-Daten inklusive Passwörter weiterer Anwendungen ausspähen, das andere. Die aktuellste Version von Trickbot kann beides. Wie Sicherheits-Experten von Trend Micro und Fortinet berichten, ist derzeit eine Variante unterwegs, die es neben Bankdaten auch auf die Passwörter und Benutzernamen zahlreicher weiterer Programme abgesehen hat. Bedeutet im Klartext: ist der Rechner infiziert, kann es ganz schnell sehr unangenehm und vor allem sehr teuer werden.
Trickbot startete als klassischer Banking-Trojaner
© Pixabay
Trickbot Malware erkennen
Traditionell kommt der Trojaner in Gestalt einer augenscheinlich normalen Word- oder Excel-Datei. Die E-Mail dazu ist häufig nicht sofort als gefährlich zu erkennen. Teilweise in perfektem Deutsch formuliert, suggeriert sie, im Anhang eine Rechnung mitzusenden oder tarnt sich gar als Nachricht von realen Geschäftspartnern. Die Datei im Anhang selbst gibt dann vor, mit einer älteren Office-Version erstellt worden zu sein und fordert den Nutzer dazu auf, die Funktion „Enable Content“ zu aktivieren. Und genau das ist der Dreh- und Angelpunkt der Masche hinter der Malware. Bestätigt der Nutzer die Aktivierung, werden entsprechende Makros ausgeführt, die den Trojaner im Hintergrund herunterladen und installieren.
Neu ist jetzt, dass Trickbot selbst nach kurzer Zeit eigenständig ein weiteres Modul nachlädt, das dann vollständige Login-Daten abgreifen und an den Angreifer-Server senden. Der Name dieses Moduls lautet pwgrab und soll erst vergangenen Herbst entwickelt worden sein. Zusätzlich zu Benutzerdaten und Passwörtern liest pwgrab beispielsweise auch Autofill-Informationen aus dem Browser sowie dessen Historie und gesetzte Cookies. Das gilt übrigens nicht nur für den immer als Sicherheitsrisiko dargestellten Internet Explorer, sondern auch für seine vermeintlich sicheren Kollegen Microsoft Edge, Google Chrome und Firefox.
Trickbot in Kombination mit Emotet und Ryuk
Schutz vor Trickbot & Co. – unsere Checkliste
Im Folgenden verrät Ihnen unsere Checkliste, wie Sie sich präventiv vor Angriffen durch Trickbot und ähnliche Trojaner schützen. Einige Punkte sorgen zusätzlich für maximale Schadensbegrenzung, sollten Sie Opfer eines Angriffs geworden sein.
- halten Sie alle Arbeitsplätze inklusive aller installierten Programme und Anwendungen sicherheitstechnisch immer auf dem neuesten Stand (Stichwort Update-/Patch-Management)
- lassen Sie eine professionelle Anti-Virus-Software installieren
- lassen Sie regelmäßig vollständige Datensicherungen durchführen
- sensibilisieren Sie Ihre Mitarbeiter für das Thema – vor allem Kollegen aus den Bereichen Empfang, Buchhaltung/Controlling und Personalwesen
- weisen Sie Ihre Mitarbeiter an, keinesfalls die Zustimmung zur Aktivierung von Makros zu erteilen, wenn sie dazu aufgefordert werden. Fehlt diese nämlich, sind Trickbot und Co. komplett machtlos.
- Verbieten Sie die Autofill-Funktion bei browserbasierten Logins
- Setzen Sie Passwort-Manager ein und schulen Sie Ihre Mitarbeiter entsprechend in der Anwendung
IT-SERVICE.NETWORK – Nehmen Sie Kontakt zu uns auf!
Sie benötigen Unterstützung bei der Optimierung Ihrer IT-Sicherheit? Wir helfen Ihnen schnell weiter.
Jetzt Kontakt aufnehmen!
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung