【悪質】Emotet(エモテット)が呼び込むTrickbot(トリックボット)

当サイトでは、Emotet(エモテット)の感染、メールばらまきに加え、いろいろな悪さをするマルウェアが存在することにも触れてきました。

 

その代表格がRyuk(リューク)ですが、もうひとつ凶悪なマルウェアにTrickbot(トリックボット)というのがあります。

 

Emotetが他のマルウェアを呼び込む仕組みについては、別のページで解説していますので、今回は、呼び込むTrickbotがなぜ怖いのかについてまとめてみます。

 

スポンサーリンク

マルウェア Trickbot(トリックボット)とは?

Trickbot単体はEmotetと同様、

Wordのマクロファイルを通じて感染するか、Emotetがよびよせるかという2パターンになります。

トレンドマイクロ社のTrickbotの特徴を見ると、

Filezilla
Microsoft Outlook
PuTTy
Remote Desktop (RDP)
VNC
WinSCP

などのソフトウェアから認証情報を盗み出す、

さらに、

Google Chrome、Internet Explorer、Microsoft Edge、Mozilla Firefoxから、

自動入力
請求情報
閲覧履歴
クレジットカード情報
HTTP POSTレスポンス
クッキー
ユーザ名とパスワード

など、オンラインバンキングや各種サイト認証に必要な、様々なデータを盗み出してしまいます。

 

このデータをもとに、オンラインバンキングや各種クレジットカード決済などで悪用される、データが特定のところで売買され、第三者から情報を悪用される恐れがあるのです。

 

スポンサーリンク

Trickbotは、Ryukにも感染しやすくなる

別の記事で、Emotetに感染するとTrickbotにも感染しやすくなり、さらに凶悪なRyukにも感染しやすくなることを書きました。

 

Trickbotの感染も、Ryukなど、さらに悪質なマルウェアの侵入をしやすくしてしまいます。

(専門的になりますが、サイバーリーズンのページにEmotet・Trickbotのメカニズムが書かれていますので、興味がある方はぜひご一読を)

 

そして怖いのが、

  • Emotet=感染コンピューターを増やす・別のマルウェアが入りやすくする
  • Trickbot=IDパスワードなどログイン情報、機密情報その他個人情報等重要な情報を盗み出し、加えてRyukに感染しやすくなる、VNC(ヴァーチャル・ネットワーク・コンピューティング)という遠隔操作プログラムを仕込み、感染者に気づかれることなく感染したPCのデスクトップをリモートで操作できてしまう
  • Ryuk=暗号化をして、データを縦に身代金を要求する

と、ある意味手分けをして、それぞれが悪質な動きをしていることです。

 

また、上記のサイバーリーズンのページでは、”TrickBotは、Windows Defenderを無効にし、削除しようと試みる”、つまりセキュリティソフトを無効化するふるまいも行います。

 

Trickbotは、「このパソコンがRyukを感染させられるかな・・」という見立ても行う

TrickBotはsystemInfo.dllというファイルで、”標的のマシンが「Ryuk」ランサムウェアを感染させるための基準を満たしているかどうか”、”32bitか64bitか”など、下調べを行います。

 

それ以外にも、様々な内部的な悪さを、ユーザーに見えにくいように行います。

 

このようにTrickbotは、情報窃取・より悪質なマルウェアの呼び込みを行うなど、本当に油断ができません。

 

結局は、「不審なメールは開かない・判別がつかない場合は開封前に検査を」という、一般論的な話になるのですが、ともかくTrickbotを呼び込むEmotetに感染しないよう、改めてファイルの扱いを意識することが要されます。

 

詳しい対策や他のフィッシングメール・マルウェア対策はこちらへ。

情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

 

自分の個人情報が外部やダークウェブで漏れていないかを確認する4つの方法と漏れた場合の対策

 

タイトルとURLをコピーしました