TrickBot Trojan: Uma breve análise do malware Modular Banking

Principais alvos

O TrickBot é usado em várias campanhas de ataque para fornecer um gateway dentro de uma rede direcionada e atuar como um dropper para implantar ransomware adicional (por exemplo, Conti , Ryuk e Emotet ). No entanto, é usado principalmente para roubar informações de instituições financeiras localizadas nos Estados Unidos

• Em agosto de 2020, ele foi usado na campanha de spam da Emotet, enviando e-mails relacionados ao COVID-19 para empresas dos EUA.
• No mês de julho, o TrickBot foi instalado junto com o Emotet para infectar computadores Windows.
• Em abril de 2020, os operadores do TrickBot também foram observados tirando proveito da pandemia de coronavírus enviando e-mails de spam relacionados ao tema FMLA do Departamento de Trabalho .

Modus operandi

O TrickBot usou várias técnicas de propagação, desde smishing , iscas COVID-19 e e -mails de spam , até endpoints de protocolo de área de trabalho remota (RDP) de força bruta e uso do módulo mworm .

• A plataforma de malware Anchor do TrickBot, conhecida como “ Anchor_DNS ”, foi portada para infectar dispositivos Linux em julho.
• No início de julho, o TrickBot deu início a uma nova técnica de evasão à detecção , verificando as resoluções de tela das vítimas para identificar se estão executando máquinas virtuais ou não.
• No início de junho de 2020, descobriu-se que os operadores do TrickBot estavam usando o BazarBackdoor para obter acesso às redes direcionadas.

Outras associações

O TrickBot usa um crypter personalizado “Cutwail”, que é usado por um grupo que espalha o cavalo de Troia bancário Dyre. Portanto, os especialistas são de opinião que os desenvolvedores do Dyre poderiam ter ajudado no desenvolvimento do TrickBot. Além disso, Ryuuku utiliza a mesma infra-estrutura como TrickBot e é frequentemente observada a ser utilizado com Emotet . Essas observações levaram à conclusão de que todos esses três malwares são operados pelo mesmo grupo criminoso conhecido como “Wizard Spider”.

Principais conclusões

O TrickBot modular continua a receber atualizações com novos recursos para evitar a detecção. Assim, todos os usuários domésticos e corporativos devem seguir práticas básicas de segurança: atualizar seus sistemas operacionais, evitar abrir documentos e e-mails de remetentes desconhecidos, usar soluções anti-malware confiáveis ​​e ficar alerta sobre técnicas comuns de hacking.

Fonte: https://cyware.com/news/trickbot-trojan-a-short-analysis-of-the-modular-banking-malware-adc58f4e