Trickbot

O TrickBot é um Trojan bancário que pode roubar detalhes financeiros, credenciais de conta e informações de identificação pessoal (PII), bem como espalhar-se dentro de uma rede e largar ransomware, particularmente o Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

O que é o malware TrickBot?

O TrickBot (ou "TrickLoader") é um reconhecido Trojan bancário que visa empresas e consumidores para obter os seus dados, tais como informações bancárias, credenciais de contas, informações de identificação pessoal (PII) e até bitcoins. Sendo um malware altamente modular, pode adaptar-se a qualquer ambiente ou rede em que se encontre.

Os muitos truques que este Trojan tem feito desde a sua descoberta em 2016 são atribuídos à criatividade e agilidade dos seus criadores. Para além de roubar, o TrickBot foi dotado de capacidades para se mover lateralmente e ganhar uma posição dentro de uma rede afetada usando exploits, propagar cópias de si mesmo através de partilhas Server Message Block (SMB), largar outro malware como o ransomware Ryuk, e procurar documentos e ficheiros multimédia em máquinas anfitriãs infetadas.

Como é que o TrickBot se propaga?

Tal como o Emotet, o TrickBot chega aos sistemas afectados sob a forma de URLs incorporados ou anexos infectados em campanhas de spam malicioso(malspam).

Uma vez executado, o TrickBot espalha-se lateralmente dentro da rede, explorando a vulnerabilidade SMB usando uma das três explorações NSA amplamente conhecidas: EternalBlue, EternalRomance ou EternalChampion.

O Emotet também pode largar o TrickBot como parte de uma infeção secundária.

Qual é a história do TrickBot?

O TrickBot começou como um ladrão de informações bancárias, mas nada é simples - mesmo desde o início.

Quando os investigadores Malwarebytes encontraram inicialmente o TrickBot em 2016, este já se gabava de ter atributos que normalmente não se vêem em "simples" ladrões de credenciais. Inicialmente, visava serviços financeiros e utilizadores de dados bancários. Também descarrega outro malware.

O TrickBot tem a reputação de ser o sucessor do Dyreza, outro ladrão de credenciais que apareceu pela primeira vez em 2014. O TrickBot partilhava semelhanças com o Dyreza, tais como certas variáveis com valores semelhantes e a forma como os criadores do TrickBot configuraram os servidores de comando e controlo (C&C) com os quais o TrickBot comunica. Este facto levou muitos investigadores a acreditar que a pessoa ou grupo que criou o Dyreza também criou o TrickBot.

Em 2017, os programadores incluíram um módulo worm no TrickBot, que acreditamos ter sido inspirado em campanhas de ransomware bem-sucedidas com capacidades semelhantes a worms, como o WannaCry e o EternalPetya. Os programadores também adicionaram um módulo para recolher credenciais do Outlook. Porquê o Outlook? Bem, centenas de organizações e milhões de indivíduos em todo o mundo costumam usar esse serviço de webmail. A gama de dados que o TrickBot rouba também se alargou: cookies, histórico de navegação, URLs visitados, Flash LSO (Local Shared Objects), e muitos mais.

Embora estes módulos fossem novos na altura, não estavam bem codificados.

Em 2018, o TrickBot continuou a explorar a vulnerabilidade SMB. Também foi equipado com o módulo que desativa a monitorização em tempo real do Windows Defender usando um comando PowerShell. Embora também tenha atualizado o seu algoritmo de encriptação, o resto da função do seu módulo permaneceu a mesma. Os programadores do TrickBot também começaram a proteger o seu código de ser desmontado por investigadores de segurança, incorporando elementos de ofuscação.

No final do ano, o TrickBot foi classificado como a principal ameaça contra as empresas, ultrapassando o Emotet.

Os desenvolvedores do TrickBot fizeram algumas alterações no Trojan em 2019 mais uma vez. Especificamente, eles fizeram alterações na forma como o recurso webinject funciona contra as operadoras móveis dos EUA, Sprint, Verizon Wireless e T-Mobile.

Recentemente, os investigadores notaram uma melhoria no método de evasão deste Trojan . O Mworm, o módulo responsável por espalhar uma cópia de si mesmo, foi substituído por um novo módulo chamado Nworm. Esse novo módulo altera o tráfego HTTP do TrickBot, permitindo que ele seja executado a partir da memória depois de infetar um controlador de domínio. Isto garante que o TrickBot não deixa quaisquer vestígios de infeção nas máquinas afectadas.

Quem é o alvo da Trickbot?

No início, qualquer pessoa parecia ser um alvo do TrickBot. Mas nos últimos anos, os seus alvos parecem ter-se tornado mais específicos, como os utilizadores do Outlook ou da T-Mobile. Por vezes, o TrickBot é encontrado disfarçado de spam com o tema dos impostos durante a época fiscal.

Em 2019, investigadores da DeepInstinct encontraram um repositório de endereços de correio eletrónico e/ou credenciais de messenger de milhões de utilizadores. Estes pertencem a utilizadores do Gmail, Hotmail, Yahoo, AOL e MSN.

Como é que me posso proteger do TrickBot?

Aprender como funciona o TrickBot é o primeiro passo para saber como as organizações e os consumidores se podem proteger dele. Eis alguns outros aspectos a que deve prestar atenção:

  1. Procure possíveis Indicadores de Compromisso (IOC) executando ferramentas especificamente concebidas para o efeito, como a Farbar Recovery Scan Tool (FRST). Ao fazê-lo, identificará máquinas infectadas na rede.
  2. Assim que as máquinas forem identificadas, isolar as máquinas infectadas da rede.
  3. Descarregue e aplique patches que abordam as vulnerabilidades que o TrickBot explora.
  4. Desativar as partilhas administrativas.
  5. Altere todas as palavras-passe de administrador local e de domínio.
  6. Proteja-se de uma infeção por TrickBot usando um programa de segurança cibernética que tem proteção em várias camadas. Os produtos Malwarebytes para empresas e consumidores premium detectam e bloqueiam o TrickBot em tempo real.

Como é que posso remover o TrickBot?

O TrickBot não é perfeito e (como já vimos) os criadores podem ser desleixados por vezes. O importante é que pode ser removido. As soluções empresariaisMalwarebytes podem facilitar o trabalho árduo, isolando os sistemas afectados, corrigindo-os e protegendo-os de futuras infecções de TrickBot e de outras estirpes de malware desagradáveis.