Trickbot

O TrickBot é um cavalo de Troia bancário que pode roubar detalhes financeiros, credenciais de contas e informações de identificação pessoal (PII), além de se espalhar dentro de uma rede e lançar ransomware, especialmente o Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

O que é o malware TrickBot?

TrickBot (ou “TrickLoader”) é um Trojan bancário reconhecido que ataca tanto empresas quanto consumidores, visando dados como informações bancárias, credenciais de contas, informações pessoalmente identificáveis (PII) e até bitcoins. Como um malware altamente modular, ele pode se adaptar a qualquer ambiente ou rede em que se encontre.

Os muitos truques que este Trojan realizou desde sua descoberta em 2016 são atribuídos à criatividade e agilidade de seus desenvolvedores. Além de roubar, o TrickBot foi equipado com capacidades para se mover lateralmente e ganhar espaço em uma rede afetada usando exploits, propagar cópias de si mesmo via compartilhamentos SMB, lançar outros malwares como o ransomware Ryuk, e buscar documentos e arquivos de mídia em máquinas hospedeiras infectadas.

Como o TrickBot se espalha?

Assim como o Emotet, o TrickBot chega aos sistemas afetados na forma de URLs incorporados ou anexos infectados em campanhas de spam malicioso (malspam).

Uma vez executado, o TrickBot se espalha lateralmente pela rede explorando a vulnerabilidade SMB, usando um dos três exploits amplamente conhecidos da NSA: EternalBlue, EternalRomance ou EternalChampion.

O Emotet também pode lançar o TrickBot como parte de uma infecção secundária.

Qual é a história do TrickBot?

O TrickBot começou como um ladrão de informações bancárias, mas nada nele é simples - mesmo desde o início.

Quando os pesquisadores da Malwarebytes encontraram o TrickBot pela primeira vez em 2016, ele já exibia atributos que normalmente não se vê em ladrões de credenciais "simples". Inicialmente, ele mirava serviços financeiros e usuários para dados bancários. Ele também lança outros malwares.

O TrickBot tem a reputação de ser o sucessor do Dyreza, outro ladrão de credenciais que apareceu pela primeira vez em 2014. TrickBot compartilhou semelhanças com o Dyreza, como certas variáveis com valores semelhantes e a maneira como os criadores do TrickBot configuraram os servidores de comando-e-controle (C&C) com os quais o TrickBot se comunica. Isso levou muitos pesquisadores a acreditar que a pessoa ou grupo que criou o Dyreza também criou o TrickBot.

Em 2017, os desenvolvedores incluíram um módulo de worm no TrickBot, que acreditamos ter sido inspirado por campanhas de ransomware bem-sucedidas com capacidades semelhantes a worms, como o WannaCry e o EternalPetya. Os desenvolvedores também adicionaram um módulo para coletar credenciais do Outlook. Por que o Outlook? Bem, centenas de organizações e milhões de pessoas no mundo inteiro costumam usar esse serviço de e-mail. A gama de dados roubados pelo TrickBot também se ampliou: cookies, histórico de navegação, URLs visitados, LSO (Local Shared Objects) do Flash e muitos mais.

Embora esses módulos fossem novos na época, eles não foram bem codificados.

Em 2018, o TrickBot continuou a explorar a vulnerabilidade SMB. Ele também foi equipado com um módulo que desativa o monitoramento em tempo real do Windows Defender usando um comando PowerShell. Embora também tenha atualizado seu algoritmo de criptografia, o resto da funcionalidade do módulo permaneceu o mesmo. Os desenvolvedores do TrickBot também começaram a proteger seu código contra dissecação por pesquisadores de segurança, incorporando elementos de ofuscação.

No final do ano, o TrickBot foi classificado como a principal ameaça contra empresas, superando o Emotet.

Os desenvolvedores do TrickBot fizeram algumas mudanças no Trojan em 2019 mais uma vez. Especificamente, eles modificaram a forma como o recurso de webinject funciona contra as operadoras móveis dos EUA, Sprint, Verizon Wireless e T-Mobile.

Recentemente, pesquisadores notaram uma melhoria no método de evasão do Trojan. O Mworm, o módulo responsável por espalhar uma cópia de si mesmo, foi substituído por um novo módulo chamado Nworm. Este novo módulo altera o tráfego HTTP do TrickBot, permitindo que ele execute a partir da memória após infectar um controlador de domínio. Isso garante que o TrickBot não deixe rastros de infecção nas máquinas afetadas.

Quem é o alvo do TrickBot?

No começo, qualquer pessoa parecia ser um alvo do TrickBot. Mas nos últimos anos, seus alvos parecem ter se tornado mais específicos - como usuários do Outlook ou T-Mobile. Às vezes, o TrickBot é encontrado disfarçado como um spam com tema de impostos durante a temporada de declaração de impostos.

Em 2019, pesquisadores da DeepInstinct encontraram um repositório de endereços de e-mail e/ou credenciais de mensageiro de milhões de usuários. Estes pertencem a usuários de Gmail, Hotmail, Yahoo, AOL e MSN.

Como posso me proteger do TrickBot?

Aprender como o TrickBot funciona é o primeiro passo para saber como as organizações e consumidores podem se proteger dele. Aqui estão algumas outras coisas às quais prestar atenção:

  1. Procure por possíveis Indicadores de Comprometimento (IOC) executando ferramentas especificamente projetadas para isso, como a Farbar Recovery Scan Tool (FRST). Fazer isso identificará máquinas infectadas na rede.
  2. Depois que as máquinas são identificadas, isole as máquinas infectadas da rede.
  3. Baixe e aplique patches que resolvam as vulnerabilidades exploradas pelo TrickBot.
  4. Desative compartilhamentos administrativos.
  5. Altere todas as senhas de administrador local e de domínio.
  6. Proteja-se de uma infecção TrickBot usando um programa de cibersegurança com proteção em várias camadas. Os produtos empresariais e premium para consumidores da Malwarebytes detectam e bloqueiam o TrickBot em tempo real.

Como posso remover o TrickBot?

O TrickBot não é perfeito e (como vimos) os desenvolvedores podem ser descuidados às vezes. Importante, ele pode ser removido. As soluções empresariais da Malwarebytes podem facilitar parte do trabalho, isolando sistemas afetados, remediando-os e protegendo-os de infecções futuras do TrickBot e de outras cepas de malware desagradáveis.