Exatamente há cinco anos, em outubro de 2016, nossas soluções encontraram pela primeira vez um Trojan chamado Trickbot (também conhecido como TrickLoader ou Trickster). Na época, encontrado principalmente em computadores domésticos, sua principal tarefa era roubar credenciais de login para serviços bancários online. Nos últimos anos, no entanto, seus criadores transformaram ativamente o trojan bancário em uma ferramenta modular multifuncional.
Além do mais, o Trickbot agora é popular entre os grupos cibercriminosos como um veículo de entrega para injetar malware de terceiros na infraestrutura corporativa. Os meios de comunicação relataram recentemente que os criadores do Trickbot se juntaram a vários novos parceiros para usar o malware para infectar a infraestrutura corporativa com todos os tipos de ameaças adicionais, como o ransomware Conti.
Tal reaproveitamento pode representar um perigo adicional para funcionários responsáveis pelas operações corporativas de segurança e outros especialistas em cibersegurança. Algumas soluções de segurança ainda reconhecem o Trickbot como um Trojan bancário, de acordo com sua especialidade original. Portanto, os funcionários da infosec que o detectarem podem vê-lo como uma ameaça aleatória de usuário doméstico que acidentalmente entrou na rede corporativa. Na verdade, sua presença ali pode indicar algo muito mais sério – uma tentativa de injeção de ransomware ou mesmo parte de uma operação de ciberespionagem direcionada.
Nossos especialistas conseguiram baixar módulos do Trojan de um de seus servidores C&C e analisá-los completamente.
O que o Trickbot pode fazer agora
O objetivo principal do Trickbot atual é penetrar e se espalhar nas redes locais. Seus operadores podem então usá-lo para várias tarefas – desde revender o acesso à infraestrutura corporativa para invasores terceirizados até roubar dados confidenciais. Aqui está o que o malware pode fazer agora:
- Coletar nomes de usuário, senhas e outras informações úteis para movimentação lateral na rede do Active Directory e do registro;
- Interceptar o tráfego da web no computador infectado;
- Fornecer controle remoto de dispositivo por meio do protocolo VNC;
- Roubar cookies de navegadores;
- Extrair credenciais de login do registro, bancos de dados de vários aplicativos e arquivos de configuração, além de roubar chaves privadas, certificados SSL e arquivos de dados para carteiras de criptomoedas;
- Interceptar dados de preenchimento automático de navegadores e informações que os usuários inserem em formulários em sites;
- Digitalizar arquivos em servidores FTP e SFTP;
- Incorporar scripts maliciosos em páginas da web;
- Redirecionar o tráfego do navegador por meio de um proxy local;
- Sequestrar APIs responsáveis pela verificação da cadeia de certificados para falsificar os resultados da verificação;
- Coletar credenciais de perfil do Outlook, interceptar e-mails no Outlook e enviar spam por meio dele;
- Procurar o serviço OWA e hackeá-lo por força bruta;
- Obter acesso ao hardware;
- Fornece acesso ao computador no nível do hardware;
- Escanear domínios em busca de vulnerabilidades;
- Encontrar endereços de servidores SQL e executar consultas de pesquisa neles;
- Se espalhar pelos exploits EternalRomance e EternalBlue;
- Criar conexões VPN.
Uma descrição detalhada dos módulos e indicadores de comprometimento pode ser encontrada em nossa publicação no Securelist.
Como se proteger contra o Trojan Trickbot
As estatísticas mostram que a maioria das detecções do Trickbot neste ano foram registradas nos Estados Unidos, Austrália, China, México e França. Isso não significa, entretanto, que outras regiões são seguras, especialmente considerando a prontidão de seus criadores para colaborar com outros cibercriminosos.
Para evitar que sua empresa seja vítima desse Trojan, recomendamos que você equipe todos os dispositivos com conexão de Internet com uma solução de segurança de alta qualidade. Além disso, é uma boa ideia usar os serviços de monitoramento de ameaças cibernéticas para detectar atividades suspeitas na infraestrutura da empresa.