Quem é o alvo do TrickBot?

O TrickBot tem como alvo tanto empresas como consumidores, embora o seu foco se tenha tornado mais específico ao longo do tempo, incluindo utilizadores do Outlook, utilizadores da T-Mobile e particulares durante a época dos impostos, altura em que se verificou que se disfarçava de spam com temática fiscal.

O Emotet pode distribuir o TrickBot?

Sim, o Emotet pode instalar o TrickBot como parte de uma infeção secundária, o que torna possível que um sistema seja comprometido por ambas as ameaças ao mesmo tempo.

Quem é o alvo do TrickBot?

O TrickBot tem como alvo tanto empresas como consumidores, embora o seu foco se tenha tornado mais específico ao longo do tempo, incluindo utilizadores do Outlook, utilizadores da T-Mobile e particulares durante a época dos impostos, altura em que se verificou que se disfarçava de spam com temática fiscal.

O que é que o TrickBot consegue fazer depois de infetar um sistema?

O TrickBot pode roubar credenciais, dados bancários, cookies, histórico de navegação e informações de identificação pessoal , bem como deslocar-se lateralmente pela rede, desativar Windows e instalar malware adicional, como o ransomware Ryuk.

É possível remover o TrickBot?

Sim, o TrickBot pode ser removido. O software de cibersegurança Malwarebytes pode ajudar a isolar os sistemas afetados, a corrigi-los e a protegê-los contra futuras infeções pelo TrickBot e outras variedades de malware.

O que é o malware TrickBot? Como se proteger contra ele

Q: O que é o malware TrickBot?

O TrickBot (também conhecido como «TrickLoader») é um trojan bancário descoberto pela primeira vez em 2016 que tem como alvo empresas e consumidores para roubar informações bancárias, credenciais de conta, informações de identificação pessoal (PII) e até mesmo bitcoins. Sendo um malware altamente modular, consegue adaptar-se a qualquer ambiente ou rede em que se encontre.

Q: Como é que o TrickBot se propaga?

O TrickBot chega aos sistemas através de URLs incorporadas ou anexos infetados em campanhas de spam malicioso, de forma semelhante à forma como o Emotet se propaga. Uma vez executado, propaga-se lateralmente dentro de uma rede, explorando vulnerabilidades SMB através de exploits da NSA, tais como o EternalBlue, o EternalRomance ou o EternalChampion.

Q: Como é que me posso proteger do TrickBot?

As principais medidas incluem isolar os computadores infetados, aplicar correções para as vulnerabilidades exploradas pelo TrickBot, desativar as partilhas administrativas e alterar todas as palavras-passe de administrador local e do domínio. Os produtos Malwarebytes e premium para consumidores Malwarebytes detetam e bloqueiam o TrickBot em tempo real.

Principais conclusões

O TrickBot é um trojan bancário modular que rouba dados confidenciais, tais como informações financeiras, credenciais de acesso e dados pessoais, e que também pode instalar malware adicional, como ransomware.
Propaga-se principalmente através de anexos ou links maliciosos em e-mails e, posteriormente, move-se lateralmente pelas redes, explorando vulnerabilidades do sistema para infetar mais dispositivos.
Uma vez dentro de um sistema, pode permanecer ativo, recolher dados, propagar-se e procurar ficheiros importantes, ao mesmo tempo que evita ser detetado e desativa as ferramentas de segurança.
Inicialmente centrado no roubo de dados bancários, evoluiu para uma ameaça mais sofisticada, capaz de comprometer redes em grande escala e de lançar ataques em várias fases.
A proteção envolve a correção de vulnerabilidades, a utilização de ferramentas robustas de cibersegurança, a monitorização de sinais de infeção, o isolamento de sistemas comprometidos e a manutenção de boas práticas de segurança.

O que é o malware TrickBot?

O TrickBot (ou "TrickLoader") é um reconhecido Trojan bancário que visa empresas e consumidores para obter os seus dados, tais como informações bancárias, credenciais de contas, informações de identificação pessoal (PII) e até bitcoins. Sendo um malware altamente modular, pode adaptar-se a qualquer ambiente ou rede em que se encontre.

Os muitos truques que este Trojan tem feito desde a sua descoberta em 2016 são atribuídos à criatividade e agilidade dos seus criadores. Para além de roubar, o TrickBot foi dotado de capacidades para se mover lateralmente e ganhar uma posição dentro de uma rede afetada usando exploits, propagar cópias de si mesmo através de partilhas Server Message Block (SMB), largar outro malware como o ransomware Ryuk e procurar documentos e ficheiros multimédia em máquinas anfitriãs infetadas.

Como é que o TrickBot se propaga?

Tal como o Emotet, o TrickBot chega aos sistemas afectados sob a forma de URLs incorporados ou anexos infectados em campanhas de spam malicioso(malspam).

Uma vez executado, o TrickBot espalha-se lateralmente dentro da rede, explorando a vulnerabilidade SMB usando uma das três explorações NSA amplamente conhecidas: EternalBlue, EternalRomance ou EternalChampion.

O Emotet também pode largar o TrickBot como parte de uma infeção secundária.

Qual é a história do TrickBot?

O TrickBot começou como um ladrão de informações bancárias, mas nada é simples - mesmo desde o início.

Quando os investigadores Malwarebytes encontraram inicialmente o TrickBot em 2016, este já se gabava de ter atributos que normalmente não se vêem em "simples" ladrões de credenciais. Inicialmente, visava serviços financeiros e utilizadores para obter dados bancários. Também descarrega outro malware.

O TrickBot tem a reputação de ser o sucessor do Dyreza, outro ladrão de credenciais que apareceu pela primeira vez em 2014. O TrickBot partilhava semelhanças com o Dyreza, tais como certas variáveis com valores semelhantes e a forma como os criadores do TrickBot configuraram os servidores de comando e controlo (C&C) com os quais o TrickBot comunica. Este facto levou muitos investigadores a acreditar que a pessoa ou grupo que criou o Dyreza também criou o TrickBot.

Em 2017, os programadores incluíram um módulo worm no TrickBot, que acreditamos ter sido inspirado por campanhas de ransomware bem-sucedidas com capacidades semelhantes a worms, como o WannaCry e o EternalPetya. Os programadores também adicionaram um módulo para recolher credenciais do Outlook. Porquê o Outlook? Bem, centenas de organizações e milhões de indivíduos em todo o mundo costumam usar esse serviço de webmail. A gama de dados que o TrickBot rouba também se alargou: cookies, histórico de navegação, URLs visitados, Flash LSO (Local Shared Objects), e muitos mais.

Embora estes módulos fossem novos na altura, não estavam bem codificados.

Em 2018, o TrickBot continuou a explorar a vulnerabilidade SMB. Também foi equipado com o módulo que desativa a monitorização em tempo real do Windows Defender usando um comando PowerShell. Embora também tenha atualizado o seu algoritmo de encriptação, o resto da função do seu módulo permaneceu a mesma. Os programadores do TrickBot também começaram a proteger o seu código de ser desmontado por investigadores de segurança, incorporando elementos de ofuscação.

No final do ano, o TrickBot foi classificado como a principal ameaça contra as empresas, ultrapassando o Emotet.

Os desenvolvedores do TrickBot fizeram algumas alterações no Trojan em 2019 mais uma vez. Especificamente, eles fizeram alterações na forma como o recurso webinject funciona contra as operadoras móveis dos EUA, Sprint, Verizon Wireless e T-Mobile.

Recentemente, os investigadores notaram uma melhoria no método de evasão deste Trojan . O Mworm, o módulo responsável por espalhar uma cópia de si mesmo, foi substituído por um novo módulo chamado Nworm. Esse novo módulo altera o tráfego HTTP do TrickBot, permitindo que ele seja executado a partir da memória depois de infetar um controlador de domínio. Isto garante que o TrickBot não deixa quaisquer vestígios de infeção nas máquinas afectadas.

Quem é o alvo da Trickbot?

No início, qualquer pessoa parecia ser um alvo do TrickBot. Mas nos últimos anos, os seus alvos parecem ter-se tornado mais específicos, como os utilizadores do Outlook ou da T-Mobile. Por vezes, o TrickBot é encontrado disfarçado de spam com o tema dos impostos durante a época fiscal.

Em 2019, investigadores da DeepInstinct encontraram um repositório de endereços de correio eletrónico e/ou credenciais de messenger de milhões de utilizadores. Estes pertencem a utilizadores do Gmail, Hotmail, Yahoo, AOL e MSN.

Como é que me posso proteger do TrickBot?

Aprender como funciona o TrickBot é o primeiro passo para saber como as organizações e os consumidores se podem proteger dele. Eis alguns outros aspectos a que deve prestar atenção:

Procure possíveis Indicadores de Compromisso (IOC) executando ferramentas especificamente concebidas para o efeito, como a Farbar Recovery Scan Tool (FRST). Ao fazê-lo, identificará máquinas infectadas na rede.
Assim que as máquinas forem identificadas, isolar as máquinas infectadas da rede.
Descarregue e aplique patches que abordam as vulnerabilidades que o TrickBot explora.
Desativar as partilhas administrativas.
Altere todas as palavras-passe de administrador local e de domínio.
Proteja-se de uma infeção por TrickBot usando um programa de segurança cibernética que tem proteção em várias camadas. Os produtos Malwarebytes para empresas e consumidores premium detectam e bloqueiam o TrickBot em tempo real.

Como é que posso remover o TrickBot?

O TrickBot não é perfeito e (como vimos) os seus criadores podem, por vezes, ser descuidados. Mais importante ainda, é possível removê-lo. Malwarebytes pode facilitar parte do trabalho árduo, isolando os sistemas afetados, corrigindo-os e protegendo-os de futuras infeções pelo TrickBot e outras variedades de malware malicioso.

O que é spam ?

O que é o Emotet?

O que é malware?

O que é a engenharia social?

O que é o phishing?

O que é uma fraude?