Operadores do TrickBot empregam variante Linux em ataques

Poucos dias depois da queda do TrickBot, os pesquisadores da Netscout descobriram uma nova variante Linux. Há poucos dias, pesquisadores anunciaram um esforço coordenado para derrubar a infraestrutura de comando e controle do infame botnet TrickBot.

A Microsoft revelou que os operadores tentaram retomar as operações. A empresa derrubou 58 dos 59 servidores que tentaram colocar online após a queda recente.

Operadores do TrickBot empregam variante Linux em ataques

De acordo com a empresa de segurança Netscout, os operadores do TrickBot começaram a usar uma nova variante Linux de seu malware em uma tentativa de expandir a lista de seus alvos. O TrickBot é um trojan bancário que existe desde outubro de 2016 e seus autores o atualizam continuamente com a implementação de novos recursos.

O pesquisador de segurança Waylon Grange identificou pela primeira vez a nova variante Linux em julho e a chamou de “Anchor_Linux“. Grange explicou:

Os atores por trás do Trickbot, um trojan bancário de alto nível, desenvolveram recentemente uma porta Linux de seu novo comando DNS e ferramenta de controle conhecida como Anchor_DNS.

Geralmente entregue como parte de um zip, esse malware é um backdoor leve do Linux. Após a execução, ele se instala como um cron job, determina o IP público para o host e, em seguida, começa a transmitir por meio de consultas DNS para seu servidor C2.

O relatório conclui:

A complexidade da comunicação […] e as cargas úteis que o bot pode executar refletem não apenas uma parte das capacidades consideráveis dos atores do Trickbot, mas também sua capacidade de inovar constantemente, como evidenciado por sua mudança para o Linux. É importante notar que os operadores do Trickbot não são os únicos a perceber o valor de direcionar para outros sistemas operacionais.

Fonte: Security Affairs