Trickbot

O TrickBot é um cavalo de Troia bancário que pode roubar detalhes financeiros, credenciais de contas e informações de identificação pessoal (PII), além de se espalhar dentro de uma rede e lançar ransomware, especialmente o Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

O que é o malware TrickBot?

O TrickBot (ou "TrickLoader") é um reconhecido cavalo de Troia bancário que visa empresas e consumidores para obter seus dados, como informações bancárias, credenciais de contas, informações de identificação pessoal (PII) e até bitcoins. Por ser um malware altamente modular, ele pode se adaptar a qualquer ambiente ou rede em que se encontre.

Os muitos truques que esse cavalo de Troia fez desde sua descoberta em 2016 são atribuídos à criatividade e à agilidade de seus desenvolvedores. Além de roubar, o TrickBot recebeu recursos para se movimentar lateralmente e se estabelecer em uma rede afetada usando exploits, propagar cópias de si mesmo por meio de compartilhamentos do Server Message Block (SMB), soltar outros malwares, como o ransomware Ryuk, e procurar documentos e arquivos de mídia em máquinas host infectadas.

Como o TrickBot se espalha?

Como o Emotet, o TrickBot chega aos sistemas afetados na forma de URLs incorporados ou anexos infectados em campanhas de spam malicioso(malspam).

Uma vez executado, o TrickBot se espalha lateralmente na rede, explorando a vulnerabilidade do SMB usando uma das três explorações amplamente conhecidas da NSA: EternalBlue, EternalRomance ou EternalChampion.

O Emotet também pode liberar o TrickBot como parte de uma infecção secundária.

Qual é o histórico do TrickBot?

O TrickBot começou como um ladrão de informações bancárias, mas nada é simples, mesmo desde o início.

Quando os pesquisadores do Malwarebytes encontraram inicialmente o TrickBot em 2016, ele já ostentava atributos que normalmente não se vê em ladrões de credenciais "simples". Inicialmente, ele visava serviços financeiros e usuários para obter dados bancários. Ele também descarta outros malwares.

O TrickBot tem a reputação de ser o sucessor do Dyreza, outro ladrão de credenciais que apareceu pela primeira vez em 2014. O TrickBot compartilhava semelhanças com o Dyreza, como certas variáveis com valores semelhantes e a maneira como os criadores do TrickBot configuram os servidores de comando e controle (C&C) com os quais o TrickBot se comunica. Isso levou muitos pesquisadores a acreditar que a pessoa ou o grupo que criou o Dyreza também criou o TrickBot.

Em 2017, os desenvolvedores incluíram um módulo de worm no TrickBot, que acreditamos ter sido inspirado em campanhas bem-sucedidas de ransomware com recursos semelhantes a worms, como o WannaCry e o EternalPetya. Os desenvolvedores também adicionaram um módulo para coletar credenciais do Outlook. Por que o Outlook? Bem, centenas de organizações e milhões de indivíduos em todo o mundo costumam usar esse serviço de webmail. A gama de dados que o TrickBot rouba também foi ampliada: cookies, histórico de navegação, URLs visitados, Flash LSO (Local Shared Objects) e muito mais.

Embora esses módulos fossem novos na época, eles não estavam bem codificados.

Em 2018, o TrickBot continuou a explorar a vulnerabilidade SMB. Ele também foi equipado com o módulo que desativa o monitoramento em tempo real do Windows Defender usando um comando do PowerShell. Embora também tenha atualizado seu algoritmo de criptografia, o restante da função de seu módulo permaneceu o mesmo. Os desenvolvedores do TrickBot também começaram a proteger seu código contra a desmontagem por pesquisadores de segurança, incorporando elementos de ofuscação.

No final do ano, o TrickBot foi classificado como a principal ameaça contra empresas, ultrapassando o Emotet.

Os desenvolvedores do TrickBot fizeram algumas alterações no cavalo de Troia em 2019 mais uma vez. Especificamente, eles fizeram alterações na forma como o recurso webinject funciona contra as operadoras de telefonia móvel baseadas nos EUA, Sprint, Verizon Wireless e T-Mobile.

Recentemente, os pesquisadores notaram um aprimoramento no método de evasão desse cavalo de Troia . O Mworm, o módulo responsável por espalhar uma cópia de si mesmo, foi substituído por um novo módulo chamado Nworm. Esse novo módulo altera o tráfego HTTP do TrickBot, permitindo que ele seja executado a partir da memória depois de infectar um controlador de domínio. Isso garante que o TrickBot não deixe nenhum rastro de infecção nas máquinas afetadas.

Quem é o alvo da Trickbot?

No início, qualquer pessoa parecia ser um alvo do TrickBot. Mas, nos últimos anos, seus alvos parecem ter se tornado mais específicos, como usuários do Outlook ou da T-Mobile. Às vezes, o TrickBot é encontrado disfarçado como um spam com tema de impostos durante a temporada de impostos.

Em 2019, pesquisadores da DeepInstinct encontraram um repositório de endereços de e-mail e/ou credenciais de messenger coletados de milhões de usuários. Eles pertencem a usuários do Gmail, Hotmail, Yahoo, AOL e MSN.

Como posso me proteger do TrickBot?

Aprender como o TrickBot funciona é o primeiro passo para saber como as organizações e os consumidores podem se proteger contra ele. Aqui estão alguns outros aspectos aos quais você deve prestar atenção:

  1. Procure possíveis indicadores de comprometimento (IOC) executando ferramentas especificamente projetadas para isso, como a Farbar Recovery Scan Tool (FRST). Isso identificará máquinas infectadas dentro da rede.
  2. Depois que as máquinas forem identificadas, isole as máquinas infectadas da rede.
  3. Baixe e aplique correções que abordem as vulnerabilidades exploradas pelo TrickBot.
  4. Desativar compartilhamentos administrativos.
  5. Altere todas as senhas de administrador local e de domínio.
  6. Proteja-se contra uma infecção por TrickBot usando um programa de segurança cibernética que tenha proteção em várias camadas. Malwarebytes produtos paraempresas e consumidores premium detectam e bloqueiam o TrickBot em tempo real.

Como posso remover o TrickBot?

A TrickBot não é perfeita e (como vimos) os desenvolvedores podem ser desleixados às vezes. É importante ressaltar que ele pode ser removido. As soluções de negóciosMalwarebytes podem facilitar parte do trabalho árduo, isolando os sistemas afetados, corrigindo-os e protegendo-os contra futuras infecções pelo TrickBot e outras cepas de malware desagradáveis.