O malware TrickBot tem como alvo mais atual as empresas de alto perfil. O Trickbot foi empregado em ataques contra clientes de 60 empresas financeiras e de tecnologia com novos recursos anti-análise.
Ataques do malware TrickBot
Os ataques do TrickBot foram direcionados principalmente a empresas de criptomoedas, a maioria localizada nos EUA. Esse malware é sofisticado e modular, e os pesquisadores da CheckPoint observaram mais de 20 módulos que permitem que os operadores criem uma ampla gama de atividades maliciosas.
De acordo com a Check Point, o malware é muito seletivo na escolha de seus alvos. “Vários truques – incluindo anti-análise – implementados dentro dos módulos mostram a formação altamente técnica dos autores e explicam por que o Trickbot continua sendo uma família de malware muito prevalente”.
A maioria das infecções foi observada nas regiões da APAC (3,3%) e da América Latina (2,1%). Os operadores do TrickBot aprimoraram continuamente suas táticas para evitar a detecção e atingir o maior número possível de usuários bancários.
Variante do malware TrickBot avaliada pelos especialistas
A variante analisada pelos especialistas aproveita o módulo injectDll para realizar a injeção na web que permite que as operadoras roubem dados bancários e de credenciais. O módulo também implementa várias técnicas de anti-análise, como o processo de travamento de guias para evitar o escrutínio do código-fonte.
Outra técnica anti-análise usada por operadores de botnet impede que um pesquisador envie solicitações automatizadas para servidores de Comando e Controle para obter novas injeções da web.
Outro módulo analisado pelos pesquisadores é o módulo tabDLL que é usado para pegar as credenciais do usuário e espalhar o malware via compartilhamento de rede. O malware usa o exploit EternalRomance para se espalhar por meio do compartilhamento de rede SMBv1.
Outro módulo usado pelo Trickbot é o “pwgrabc”, que permite que o malware roube senhas de aplicativos e navegadores populares, incluindo Chrome, Internet Explorer, Edge, Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN e TeamViewer.
A Check Point aponta que o Trickbot ataca vítimas de alto perfil para roubar as credenciais e fornecer a seus operadores acesso aos portais com dados confidenciais onde podem causar maiores danos.
Além disso, com base em pesquisa anterior da empresa, a Check Point diz saber “que os operadores por trás da infraestrutura também são muito experientes no desenvolvimento de malware em alto nível“.
A combinação desses dois fatores já levou a mais de 140.000 vítimas infectadas após a remoção, vários primeiros lugares nas principais listas de prevalência de malware e colaboração com o Emotet.
Via: SecurityAffairs
