O que é o malware TrickBot?
TrickBot (ou “TrickLoader”) é um Trojan bancário reconhecido que ataca tanto empresas quanto consumidores, visando dados como informações bancárias, credenciais de contas, informações pessoalmente identificáveis (PII) e até bitcoins. Como um malware altamente modular, ele pode se adaptar a qualquer ambiente ou rede em que se encontre.
Os muitos truques que este Trojan realizou desde sua descoberta em 2016 são atribuídos à criatividade e agilidade de seus desenvolvedores. Além de roubar, o TrickBot foi equipado com capacidades para se mover lateralmente e ganhar espaço em uma rede afetada usando exploits, propagar cópias de si mesmo via compartilhamentos SMB, lançar outros malwares como o ransomware Ryuk, e buscar documentos e arquivos de mídia em máquinas hospedeiras infectadas.
Como o TrickBot se espalha?
Assim como o Emotet, o TrickBot chega aos sistemas afetados na forma de URLs incorporados ou anexos infectados em campanhas de spam malicioso (malspam).
Uma vez executado, o TrickBot se espalha lateralmente pela rede explorando a vulnerabilidade SMB, usando um dos três exploits amplamente conhecidos da NSA: EternalBlue, EternalRomance ou EternalChampion.
O Emotet também pode lançar o TrickBot como parte de uma infecção secundária.
Qual é a história do TrickBot?
O TrickBot começou como um ladrão de informações bancárias, mas nada nele é simples - mesmo desde o início.
Quando os pesquisadores da Malwarebytes encontraram o TrickBot pela primeira vez em 2016, ele já exibia atributos que normalmente não se vê em ladrões de credenciais "simples". Inicialmente, ele mirava serviços financeiros e usuários para dados bancários. Ele também lança outros malwares.
O TrickBot tem a reputação de ser o sucessor do Dyreza, outro ladrão de credenciais que apareceu pela primeira vez em 2014. TrickBot compartilhou semelhanças com o Dyreza, como certas variáveis com valores semelhantes e a maneira como os criadores do TrickBot configuraram os servidores de comando-e-controle (C&C) com os quais o TrickBot se comunica. Isso levou muitos pesquisadores a acreditar que a pessoa ou grupo que criou o Dyreza também criou o TrickBot.
Em 2017, os desenvolvedores incluíram um módulo de worm no TrickBot, que acreditamos ter sido inspirado por campanhas de ransomware bem-sucedidas com capacidades semelhantes a worms, como o WannaCry e o EternalPetya. Os desenvolvedores também adicionaram um módulo para coletar credenciais do Outlook. Por que o Outlook? Bem, centenas de organizações e milhões de pessoas no mundo inteiro costumam usar esse serviço de e-mail. A gama de dados roubados pelo TrickBot também se ampliou: cookies, histórico de navegação, URLs visitados, LSO (Local Shared Objects) do Flash e muitos mais.
Embora esses módulos fossem novos na época, eles não foram bem codificados.
Em 2018, o TrickBot continuou a explorar a vulnerabilidade SMB. Ele também foi equipado com um módulo que desativa o monitoramento em tempo real do Windows Defender usando um comando PowerShell. Embora também tenha atualizado seu algoritmo de criptografia, o resto da funcionalidade do módulo permaneceu o mesmo. Os desenvolvedores do TrickBot também começaram a proteger seu código contra dissecação por pesquisadores de segurança, incorporando elementos de ofuscação.
No final do ano, o TrickBot foi classificado como a principal ameaça contra empresas, superando o Emotet.
Os desenvolvedores do TrickBot fizeram algumas mudanças no Trojan em 2019 mais uma vez. Especificamente, eles modificaram a forma como o recurso de webinject funciona contra as operadoras móveis dos EUA, Sprint, Verizon Wireless e T-Mobile.
Recentemente, pesquisadores notaram uma melhoria no método de evasão do Trojan. O Mworm, o módulo responsável por espalhar uma cópia de si mesmo, foi substituído por um novo módulo chamado Nworm. Este novo módulo altera o tráfego HTTP do TrickBot, permitindo que ele execute a partir da memória após infectar um controlador de domínio. Isso garante que o TrickBot não deixe rastros de infecção nas máquinas afetadas.
Quem é o alvo do TrickBot?
No começo, qualquer pessoa parecia ser um alvo do TrickBot. Mas nos últimos anos, seus alvos parecem ter se tornado mais específicos - como usuários do Outlook ou T-Mobile. Às vezes, o TrickBot é encontrado disfarçado como um spam com tema de impostos durante a temporada de declaração de impostos.
Em 2019, pesquisadores da DeepInstinct encontraram um repositório de endereços de e-mail e/ou credenciais de mensageiro de milhões de usuários. Estes pertencem a usuários de Gmail, Hotmail, Yahoo, AOL e MSN.
Como posso me proteger do TrickBot?
Aprender como o TrickBot funciona é o primeiro passo para saber como as organizações e consumidores podem se proteger dele. Aqui estão algumas outras coisas às quais prestar atenção:
- Procure por possíveis Indicadores de Comprometimento (IOC) executando ferramentas especificamente projetadas para isso, como a Farbar Recovery Scan Tool (FRST). Fazer isso identificará máquinas infectadas na rede.
- Depois que as máquinas são identificadas, isole as máquinas infectadas da rede.
- Baixe e aplique patches que resolvam as vulnerabilidades exploradas pelo TrickBot.
- Desative compartilhamentos administrativos.
- Altere todas as senhas de administrador local e de domínio.
- Proteja-se de uma infecção TrickBot usando um programa de cibersegurança com proteção em várias camadas. Os produtos empresariais e premium para consumidores da Malwarebytes detectam e bloqueiam o TrickBot em tempo real.
Como posso remover o TrickBot?
O TrickBot não é perfeito e (como vimos) os desenvolvedores podem ser descuidados às vezes. Importante, ele pode ser removido. As soluções empresariais da Malwarebytes podem facilitar parte do trabalho, isolando sistemas afetados, remediando-os e protegendo-os de infecções futuras do TrickBot e de outras cepas de malware desagradáveis.