2min Security

‘TrickBot-malware heeft inloggegevens van 250 miljoen e-mailadressen verzameld’

TrickBot, malware die in 2016 ontdekt werd, heeft de wachtwoorden en adresboeken van 250 miljoen e-mailadressen verzameld. Dat hebben onderzoekers van beveiligingsbedrijf Deep Instinct geconstateerd, meldt TechCrunch.

TrickBot is van origine een financieel gemotiveerde malware die in 2016 voor het eerst gespot werd. Sinds die tijd heeft het nieuwe technieken gekregen om computers te infecteren, om zo inloggegevens van e-mailaccounts te verzamelen. Uiteindelijk probeert de malware daarmee geld te stelen.

De beveiligingsonderzoekers wisten de command and control-servers van de malware te identificeren, waarna ze de 250 miljoen cache aan e-mailadressen in handen kregen. Het gaat daarbij niet alleen om grote hoeveelheden Gmail-, Yahoo- en Hotmail-accounts, maar ook om diverse e-mailadressen van Amerikaanse ministeries en ministeries van andere overheden.

“Op basis van de organisaties die het getroffen heeft, is het logisch dat het zich zo breed mogelijk verspreidt en zoveel mogelijk e-mailadressen verzamelt”, stelt Guy Caspi, CEO van Deep Instinct. “Als ik op een endpoint in een Amerikaans ministerie zou landen, zou ik me zoveel mogelijk proberen te verspreiden en ieder adres en alle inloggegevens die ik tegenkom verzamelen.”

TrickBooster

Als een computer al geïnfecteerd is met TrickBot, kan het het TrickBooster-component downloaden, dat een getekend certificaat heeft. TrickBooster verstuurt een lijst van de e-mailadressen en adresboeken van het slachtoffer terug naar de algemene server. Daarna verstuurt de malware spam vanaf de computer van het slachtoffer. De verzonden e-mails worden uit de outbox en map met verstuurde items verwijderd om detectie te voorkomen.

De malware gebruikt een nagemaakt certificaat om het component te tekenen, om zo te voorkomen dat het gedetecteerd wordt. Veel van de certificaten zijn voor legitieme bedrijven uitgeschreven, die geen code hoeven te ondertekenen.

De onderzoekers ontdekten TrickBooster op 25 juni en hebben het een week later gemeld bij de autoriteiten die certificaten uitgeven. De certificaten zijn ingetrokken, waardoor het moeilijker is om de malware te draaien.