ما سر خطورة البوت نت TrickBot البالغة؟ إلى جانب حصان طروادة Emotet المهدد للخدمات المصرفية، الذي أصبح غير ضار، و Retefe، يعد TrickBot أيضًا خطرًا على جهاز الكمبيوتر الخاص بك. يشكل البرنامج الضار TrickBot والبوت نت المعضدة له تحديًا أمام اختصاصيي الأمن الإلكتروني.
لقد استخدم مجرمو الإنترنت TrickBot للتسلل إلى أجهزة كمبيوتر الآخرين منذ عام 2016 للتجسس على البيانات الخاصة السرية. وضحايا هذه الهجمات الإلكترونية ليست الشركات فحسب، بل الأفراد أيضًا. لقد نما نطاق هذا البرنامج الضار وقدراته بشكل كبير منذ اكتشافه في عام 2016. ولم يعد تركيزه منصبًا فقط على سرقة البيانات، بل أصبح الآن قادرًا أيضًا على تغيير حركة مرور الشبكة والانتشار بتوسع أكبر. بمجرد وصول البرنامج الضار TrickBot إلى النظام وإصابة الكمبيوتر، فإنه يفتح الباب الخلفي لمزيد من البرامج الضارة.
يعتبر TrickBot خطيرًا وضارًا بشكل خاص بسبب قدرته على التحور وجلبه العديد من المكونات الإضافية إلى الجهاز الآن. وكما هو معتاد بالنسبة لأحصنة طروادة الضارة، فإن TrickBot بارع في الاختباء من ضحيته. وبالتالي لا يمكن اكتشافه والقضاء عليه إلا من خلال الاهتمام الشديد واستخدام أفضل برامج الأمن، مثل Kaspersky Anti-Virus.
كيف ينتشر حصان طروادة TrickBot المهدد للخدمات المصرفية
في البداية، غالبًا ما يجد TrickBot طريقه إلى النظام من خلال رسائل البريد الإلكتروني الاحتيالية. يتضمن هذا إرسال رسائل بريد إلكتروني زائفة ومخادعة من مؤسسات وشركات معروفة، والتي غالبًا ما يكون لها مرفقات. يُطلب من ضحايا هجوم TrickBot في البريد الإلكتروني فتح المرفق أو الرابط، مما يؤدي إلى إصابة الجهاز. ويؤدي فتح المرفقات إلى تنزيل البرمجيات الضارة. كما يمكن أن تحدث الإصابة بـ TrickBot أيضًا، على سبيل المثال، من خلال التحديثات الضارة أو من خلال البرمجيات الضارة الموجودة بالفعل على الجهاز الطرفي. بمجرد وصول البرمجيات الضارة إلى داخل الكمبيوتر واكتسابها القدرة على حفظ بيانات المستخدم، يصبح أحد أهدافها الرئيسية هو عدم اكتشافه لها لأطول فترة ممكنة.
كيف يعمل هجوم TrickBot؟
في هجوم TrickBot، يتم أولاً إنهاء خدمات Windows وأنشطة Windows Defender أو برامج مكافحة الفيروسات الأخرى. ثم يتم استخدام طرق مختلفة لتوسيع الامتيازات. يمكن بعد ذلك استخدام الحقوق الإدارية الناتجة من قِبل المزيد من المكونات الإضافية، والتي يتم تحميلها تلقائيًا. بعد ذلك، يتجسس TrickBot على كل من النظام والشبكات ويجمع البيانات من المستخدم. تتم بعد ذلك إعادة توجيه المعلومات التي تم جمعها بواسطة البرمجيات الضارة إلى أجهزة خارجية، أو إلى مجرمي الإنترنت الذين يحركون الهجوم.
ما عواقب حصان طروادة TrickBot المهدد للخدمات المصرفية على الضحية والجهاز الطرفي؟
يتسبب فيروس "Win 32 / TrickBot.AK" في تخزين البيانات دون موافقة المستخدم والتجسس على مستخدم الجهاز الطرفي. من الطرق الممكنة للحصول على البيانات، على سبيل المثال، عرض مربعات حوار مزيفة تظهر بسبب البرمجيات الضارة. لا يقوم TrickBot نفسه بتخزين ضغطات المفاتيح أو تسجيل لقطات الشاشة. لكن حصان طروادة هذا قادر على الاتصال بخادم بعيد، وهو ينتمي إلى مجموعة من البرامج الضارة الآلية تسمى البوت نت. ولا يؤثر TrickBot في أداء الكمبيوتر المحمول أو يتسبب في عدم استجابته للأوامر. ومع ذلك، يمكن تحميل TrickBot المسؤولية عن الهجمات الموزعة للحرمان من الخدمات (DDoS). في هذه الحال، يتم تعطيل الخدمة بواسطة إصدار عدد كبير من أجهزة الكمبيوتر لعدد كبير من الطلبات المستهدفة. تشمل الإمكانات الأخرى لبرنامج TrickBot الضار تنزيل البرامج الضارة على أجهزة الكمبيوتر المصابة ونشر نفسه وإنشاء نقاط هجوم للمتسللين.
الكشف عن TrickBot وإزالة أحصنة طروادة المهددة للخدمات المصرفية
اليقظة والحذر هما سلاحاك في اكتشاف TrickBot. فمن العلامات المحتملة على الإصابة بالبرامج الضارة، على سبيل المثال، وجود محاولات تسجيل دخول غير مصرح بها إلى حسابات على الإنترنت. ويتم تنبيه ضحايا الهجوم في بعض الأحيان من خلال رصد تغيير في البنية التحتية للشبكة. يمكن أن تكون العلامة اللاحقة على الإصابة بالبرمجيات الضارة، وهي مع الأسف علامة بالغة الإيذاء، هي العثور على تحويل مصرفي تم إجراؤه بغير تدخل من جانبك. يمكن أن تتنكر البرامج الضارة في صورة عملية حوسبية طبيعية أو ملف عادي. وهذا يجعلها غير قابلة للكشف تقريبًا، ويمكن أن يتسبب حذف الملفات المشبوهة في تلف الكمبيوتر بشكل لا يمكن إصلاحه. ونظرًا لأن TrickBot هو حصان طروادة مخصص لسرقة البيانات، فلا بد من إصلاح الضرر بأسرع ما يمكن. تعتبر منتجات مكافحة البرمجيات الضارة مثل منتجات Kaspersky هي الطريقة المثلى للقيام بذلك. يستغرق كل من اكتشاف عدوى TrickBot وإزالة حصان طروادة المهدد للخدمات المصرفية وقتًا طويلاً للغاية.
سرقة بيانات الاعتماد وأشياء أخرى -ماذا تواجه بعد الهجوم من TrickBot؟
كما ذكرنا من قبل، يهدف TrickBot إلى سرقة بيانات تسجيل الدخول ومن ثم الانخراط في ما يُعرف باسم "سرقة بيانات الاعتماد". يصف هذا المصطلح الطريقة التي يستخدمها مجرمو الإنترنت للاستيلاء على الحسابات عبر الإنترنت. في البداية، كانت المؤسسات المالية، ومنها المصارف على وجه الخصوص، هي الهدف الأساسي لحصان طروادة المدعو TrickBot. يحصل مجرمو الإنترنت على وصول غير مصرح به إلى الحسابات الشخصية عن طريق سرقة بيانات الاعتماد الخاصة. يمكن بعد ذلك استخدام هذا لإجراء تحويلات مصرفية، على سبيل المثال. وبالإضافة إلى الوصول إلى كلمات المرور وأسماء المستخدمين، يمكن لـ TrickBot أيضًا الاستيلاء على معلومات الملء التلقائي للمتصفح، بالإضافة إلى سجل محفوظاته وملفات تعريف الارتباط المخزنة.
العواقب التقليدية لهجوم TrickBot
عادة ما يتعين على ضحايا هجمات TrickBot التعامل مع مجموعة تقليدية من العواقب. فمن ناحية، يستولي مجرمو الإنترنت على حساباتهم. وبمجرد حدوث ذلك، يطلب المتسللون عادةً فدية للإفراج عن الحسابات أو الملفات. وأخيرًا وليس آخرًا، يمكن أن تنتشر برامج طلب الفدية إلى ملفات أخرى على الأجهزة المصابة.
مكافحة TrickBot: الطريقة المثلى لحماية نفسك من الهجوم
- استخدم برنامجًا احترافيًا لمكافحة الفيروسات أو الكشف عن أحصنة طروادة
- توخَّ الحذر عند تفقُّد صندوق رسائل البريد الإلكتروني العشوائي. تجنَّب فتح رسائل البريد الإلكتروني المشبوهة أو المريبة أو مرفقاتها. أوضِح أيضًا للموظفين أنه يجب عليهم عدم منح موافقتهم على تنشيط وحدات الماكرو تحت أي ظرف من الظروف.
- يجب أن تكون البرامج الموجودة على أجهزة الكمبيوتر محدَّثة دائمًا.
- انتبه وتوخَّ الحذر عند تحديث أي برنامج.
- استعن بموفري البرامج الرسميين بدلاً من الجهات الخارجية التي توفر البرامج، وارفض حزم الوظائف الإضافية عند التنزيل.
على الرغم من الإجراءات الاحترازية التي لا حصر لها، تظل هناك دائمًا مخاطر قائمة، وقد يصيب حصان طروادة جهاز الكمبيوتر الخاص بك. لذلك، لا تهمل النسخ الاحتياطي للبيانات بشكل منتظم.
خطورة اجتماع TrickBot مع غيره من البرمجيات الضارة
Emotet وTrickBot وRyuk - مزيج يفتك ببياناتك
يقولون إن المصائب لا تأتي فرادى، وهذا بالضبط هو الحال عندما يجتمع ثلاثي الشر Trickbot وEmotet وRyuk معًا. يتسم التقاء هذه البرامج الضارة الثلاثة بخطورة خاصة، ويجعل الضرر الناجم عن هجوم TrickBot وحده كأنه زوبعة في فنجان. تعمل البرامج الثلاثة معًا بسلاسة مما يزيد من الضرر. يمثل Emotet بداية الإصابة وينفذ المهام التقليدية لحصان طروادة، فيفتح الباب أمام TrickBot وRyuk ومن ثم يتسلل المجرمون. في الخطوة التالية، يستخدم المهاجمون TrickBot للحصول على معلومات بشأن النظام الذي تمت إصابته، وتوزيع نفسه في الشبكة على أفضل نحو ممكن. وفي الخطوة الأخيرة، يتم وضع حصان طروادة التشفيري Ryuk في أكبر عدد ممكن من الأنظمة ويقوم بدوره بتشفير القرص الصلب وفقًا لإجراءات برنامج طلب الفدية. وبالإضافة إلى ذلك، تُحذف أي نسخ احتياطية من البيانات.
TrickBot وIcedID: ثنائي لا يستهان به من أحصنة طروادة المهددة للخدمات المصرفية
إن هذه ليست المجموعة الوحيدة التي يمثل TrickBot جزءًا منها. فالمزيج المكون من TrickBot وIcedID على القدر نفسه من الخطورة. يوفر الجمع بين هذين النوعين من أحصنة طروادة المهددة للخدمات المصرفية هجومًا أكثر استهدافًا وحدَّة على البيانات المصرفية. ينتقل برنامج IcedID الضار إلى الضحية عبر بريد إلكتروني عشوائي ضار، على سبيل المثال، ويتم فتحه. ويؤدي هذا إلى بدء تنزيل برنامج TrickBot الضار. بعد ذلك، يمكن لـ TrickBot أداء مهام التجسس المعتادة وتحديد نوع الاحتيال المالي الممكن تنفيذه.
TrickBot وWindows Defender
لقد عثرت البرامج الضارة مثل TrickBot طرقًا لتجنب اكتشاف Windows Defender لها. ومع ذلك، فإن ما يميز TrickBot ليس قدرته على العمل في الخفاء فحسب، بل استطاعته تعطيل Windows Defender تمامًا كذلك.
ملخص
يشكل TrickBot تهديدًا لجهاز الكمبيوتر الخاص بك بسبب نشاطه الأساسي، وهو سرقة بيانات الاعتماد. وبالإضافة إلى ذلك، فإن قابليته للتغيير والمكونات الإضافية العديدة التي يجلبها معه تجعله ضيفًا ثقيلاً على جهازك الطرفي. وتصبح هجمات TrickBot شديدة الوطأة بشكل خاص عندما تتم بالاقتران مع برمجيات ضارة أخرى. وفي ضوء ما تقدم، يصبح من المهم للغاية اكتشاف البرمجيات الضارة بأسرع ما يمكن باستخدام برنامج أمان ممتاز ومستوى عالٍ من الاهتمام. وهذا يمكن أن يحول دون فتح الباب لتسلل المزيد من البرمجيات الضارة.