TrickBot Trojan: Uma breve análise do malware Modular Banking
O TrickBot é um cavalo de Troia modular bem conhecido que às vezes atua como um ladrão de informações ou dropper de malware. Ativo desde 2016, foi atualizado várias vezes com novos recursos e modulações. Recentemente, ele foi usado junto com o ransomware Ryuk para atingir várias organizações.
Principais alvos
O TrickBot é usado em várias campanhas de ataque para fornecer um gateway dentro de uma rede direcionada e atuar como um dropper para implantar ransomware adicional (por exemplo, Conti , Ryuk e Emotet ). No entanto, é usado principalmente para roubar informações de instituições financeiras localizadas nos Estados Unidos
- Em agosto de 2020, ele foi usado na campanha de spam da Emotet, enviando e-mails relacionados ao COVID-19 para empresas dos EUA.
- No mês de julho, o TrickBot foi instalado junto com o Emotet para infectar computadores Windows.
- Em abril de 2020, os operadores do TrickBot também foram observados tirando proveito da pandemia de coronavírus enviando e-mails de spam relacionados ao tema FMLA do Departamento de Trabalho .
Modus operandi
O TrickBot usou várias técnicas de propagação, desde smishing , iscas COVID-19 e e -mails de spam , até endpoints de protocolo de área de trabalho remota (RDP) de força bruta e uso do módulo mworm .
- A plataforma de malware Anchor do TrickBot, conhecida como “ Anchor_DNS ”, foi portada para infectar dispositivos Linux em julho.
- No início de julho, o TrickBot deu início a uma nova técnica de evasão à detecção , verificando as resoluções de tela das vítimas para identificar se estão executando máquinas virtuais ou não.
- No início de junho de 2020, descobriu-se que os operadores do TrickBot estavam usando o BazarBackdoor para obter acesso às redes direcionadas.
Outras associações
O TrickBot usa um crypter personalizado “Cutwail”, que é usado por um grupo que espalha o cavalo de Troia bancário Dyre. Portanto, os especialistas são de opinião que os desenvolvedores do Dyre poderiam ter ajudado no desenvolvimento do TrickBot. Além disso, Ryuuku utiliza a mesma infra-estrutura como TrickBot e é frequentemente observada a ser utilizado com Emotet . Essas observações levaram à conclusão de que todos esses três malwares são operados pelo mesmo grupo criminoso conhecido como “Wizard Spider”.
Principais conclusões
O TrickBot modular continua a receber atualizações com novos recursos para evitar a detecção. Assim, todos os usuários domésticos e corporativos devem seguir práticas básicas de segurança: atualizar seus sistemas operacionais, evitar abrir documentos e e-mails de remetentes desconhecidos, usar soluções anti-malware confiáveis e ficar alerta sobre técnicas comuns de hacking.
Fonte: https://cyware.com/news/trickbot-trojan-a-short-analysis-of-the-modular-banking-malware-adc58f4e
