شهد التروجان المصرفي Trickbot على مدار خمس سنوات من النشاط، تغيرات واسعة تزامنت مع قدرة الجهة التخريبية التي تقف وراءها على تزويده بمختلف الأدوات المتقدمة، وتمثلت الوظيفة الرئيسية لهذا التروجان الذي كان اكتُشف في العام 2016، في سرقة البيانات المصرفية عبر الإنترنت، واستطاع باحثو كاسبرسكي تتبّع تطوّر التروجان Trickbot عبر إخضاع 61 وحدة من وحداته للتحليل، وتحديد أساليب تحديثه.
ويُعد التروجان Trickbot سليل التروجان المصرفي Dyre، الذي نشأ بصفة تروجان يسرق البيانات المصرفية وبيانات اعتماد الدخول إلى الحسابات. وتطور Trickbot اليوم ليغدو برمجية خبيثة متعددة الوحدات يتراوح نشاطها بين سرقة البيانات وتوزيع البرمجيات الخبيثة الأخرى، مثل Ryuk ransomware.
أجرى باحثو كاسبرسكي تحليلات شملت 61 وحدة في Trickbot، ليجدوا أن هذا التروجان قد اكتسب العشرات من الوحدات المساعدة التي تسرق بيانات الاعتماد والمعلومات الحساسة. وينتشر التروجان عبر الشبكات المحلية باستخدام بيانات اعتماد مسروقة، وباستغلالٍ للثغرات، ويتيح للمهاجمين القدرة على الوصول عن بُعد إلى النظام المصاب، والنفاذ إلى حركة البيانات عبر شبكة البروكسي، فضلًا عن تنفيذ هجمات القوة العمياء وتنزيل برمجيات خبيثة أخرى.
يستهدف Trickbot الشركات والمستخدمين الأفراد حول العالم، ولا يعترف نشاطه بالحدود الجغرافية،
و معظم المستخدمين المتأثرين يتوزعون بين الولايات المتحدة (13.21%)، وأستراليا (10.25%) والصين (9.77%)، والمكسيك (6.61%) وفرنسا (6.30%).
قال أوليغ كوبريف ، خبير الأمن الرقمي لدى كاسبرسكي، إن مجرمي الإنترنت يحرصون دائمًا على تحديث مجموعات أدواتهم التخريبية، مشيرًا إلى أن Trickbot قد تطور وأصبح أحد أقوى التروجانات المصرفية المعروفة وأخطرها، وأضاف: “ينبغي لتقنيات الحماية أن تواكب تطور مجرمي الإنترنت، لا سيما وأن بالإمكان منع معظم الهجمات، ولهذا السبب من المهم أن يكون لدى الأفراد والشركات حلول أمنية محدّثة”.
ويوصي خبراء كاسبرسكي باتباع التدابير التالية للبقاء في مأمن من التهديدات المصرفية، مثل Trickbot:
• تجنُّب النقر على الروابط الموجودة في رسائل البريد الإلكتروني غير المرغوب فيها، وفتح المستندات المرفقة بها.
• تفعيل حلول المصادقة متعددة العوامل عند استخدام الخدمات المصرفية الرقمية.
• الحرص على تحديث جميع التطبيقات بما يشمل نظام التشغيل وجميع تطبيقات البرمجية (يستغل المهاجمون الثغرات الموجودة في البرمجيات المستخدمة على نطاق واسع لاختراق الأنظمة).
• استخدام حل أمني موثوق به يمكن أن يساعد في التحقق من أمن عناوين URL وفتح أية موقع في حاوية محمية لمنع سرقة البيانات الحساسة كالمعلومات المالية
