Ir para o conteúdo principal

TrickBot: um botnet multifacetado

O que torna o botnet TrickBot tão perigoso? Ao lado do Trojan bancário Emotet , que foi tornado inofensivo, e do Retefe, o TrickBot também é muito perigoso para o seu computador. O TrickBot e o botnet escondidos por trás do malware representam um desafio para os especialistas em segurança cibernética.
O TrickBot tem sido usado por cibercriminosos para se infiltrarem em computadores desde 2016, com o objetivo de espionar dados privados confidenciais. As vítimas desses ciberataques incluem não apenas empresas,mas também pessoas comuns. A abrangência e os recursos do malware cresceram consideravelmente desde a sua descoberta em 2016. O foco não está mais apenas no roubo de dados, o TrickBot agora também é capaz de alterar o tráfego da rede e pode se propagar ainda mais. Após o malware infiltrar-se em um sistema e infectar o computador, o TrickBot abre as portas para a entrada de mais malwares.

O TrickBot é particularmente perigoso e prejudicial devido a sua capacidade de mutação e dos inúmeros plugins que ele agora carrega consigo. Como é habitual para malware de trojan, o TrickBot é um mestre em se esconder de suas vítimas. Assim, só pode ser detectado se o usuário estiver muito atento e usando o melhor software de segurança,como o Kaspersky AntiVirus.

Como o trojan bancário TrickBot se espalha

Inicialmente, o TrickBot encontrava seu caminho de entrada no sistema através de e-mails de phishing. Isso envolvia o envio de e-mails falsos com aparência de genuínos, alegadamente de instituições e empresas conhecidas, muitas vezes contendo um anexo. As vítimas de um ataque do TrickBot eram solicitadas no e-mail a abrir o anexo ou link, o que levava à infecção do dispositivo. A abertura dos anexos fazia com que o malware seja baixado. Uma infecção pelo TrickBot também pode ocorrer, por exemplo, através de atualizações maliciosas ou de malware que já está no dispositivo final. Após o malware atingir o computador e ser capaz de salvar os dados do usuário, um de seus principais objetivos é permanecer sem ser detectado pelo maior tempo possível.

Como funciona o ataque do TrickBot?

Em um ataque TrickBot, os serviços do Windows e as atividades do Windows Defender ou de outro software antivírus são primeiramente encerradas. Vários métodos são então usados para ampliar seus privilégios. Os direitos administrativos resultantes podem então ser usados por outros plugins, que o malware carrega automaticamente. Posteriormente, o TrickBot espiona tanto o sistema quanto as redes, coletando os dados do usuário. As informações coletadas pelo malware são então encaminhadas para dispositivos externos ou para os cibercriminosos por trás do ataque.

Quais são as consequências do Trojan bancário para a vítima e o dispositivo final?

O vírus "Win 32/TrickBot.AK" faz com que os dados sejam armazenados sem o consentimento do usuário e espiona o usuário do dispositivo final. Uma maneira possível de obter os dados pode ser, por exemplo, exibindo campos de diálogo falsos por meio do malware. O próprio TrickBot não armazena teclas ou grava capturas de tela. O Trojan é capaz de se conectar a um servidor remoto e pertence a um grupo de malware automatizado chamado botnet. O TrickBot não afeta o desempenho do laptop ou faz com que ele fique sem resposta aos comandos. O TrickBot pode, no entanto, ser responsabilizado por um ataque DDoS (negação de serviço distribuída). Neste caso, um grande número de solicitações direcionadas de uma grande quantidade de computadores leva à interrupção de um serviço. Outros recursos do malware TrickBot incluem baixar malware em computadores infectados, se espalhar e criar pontos de ataque para hackers.

Detectando TrickBot e removendo trojans bancários

Para detectar uma infecção pelo TrickBot, é necessária total vigilância. Possíveis sinais de infecção com o malware podem ser, por exemplo, tentativas de login não autorizadas para contas online. As vítimas de um ataque às vezes são alertadas por uma mudança na infraestrutura da rede. Uma indicação posterior e fatal de uma infecção com o malware também pode ser uma transferência bancária que foi realizada sem o seu envolvimento. O malware pode se disfarçar como um processo de computador legítimo ou arquivo comum. Isso o torna virtualmente indetectável e a exclusão de arquivos suspeitos pode causar danos irreparáveis ao computador. Como o TrickBot é um Trojan que rouba dados, o dano deve ser reparado o mais rápido possível. Produtos anti-malware, como as soluções Kaspersky, são a maneira ideal de fazer isso. A detecção de uma infecção pelo TrickBot e a remoção do Trojan bancário são processos extremamente demorados.

Recheio de credencial etc: as consequências de um ataque do TrickBot

Como já mencionado, o TrickBot visa roubar dados de login e, assim, se engajar no que é conhecido como recheio de credenciais. O recheio de credenciais é um método usado por cibercriminosos para se apropriar de contas online. Inicialmente, instituições financeiras, especialmente os bancos, eram consideradas o principal alvo do trojan TrickBot. Os cibercriminosos ganhavam acesso não autorizado a contas pessoais, roubando credenciais privadas. Isso podia então ser usado, por exemplo, para fazer transferências bancárias. Além de senhas e nomes de usuário, o TrickBot também é capaz de obter acesso às informações de preenchimento automático do navegador, além do histórico de navegação e cookies armazenados.

Consequências típicas de um ataque do TrickBot

As vítimas de ataques do TrickBot geralmente sofrem as consequências típicas. Por um lado, suas contas são capturadas pelos cibercriminosos. Após isso, os hackers geralmente exigem um resgate para a liberação das contas ou arquivos. Por último, mas não menos nocivo, o ransomware pode se espalhar para outros arquivos nos dispositivos infectados.

Combatendo o TrickBot: como se proteger melhor de um ataque

  • Use um software antivírus profissional ou um scanner de trojan.
  • Tenha cautela ao verificar e-mails de spam. Evite abrir e-mails suspeitos ou de aparência duvidosa, além de quaisquer anexos. Oriente os funcionários a jamais fornecerem seu consentimento para a ativação de macros.
  • O software nos computadores deve estar sempre atualizado.
  • Fique alerta ao atualizar o software.
  • Use provedores oficiais em vez de provedores de terceiros e rejeite pacotes adicionais ao fazer o download.

Apesar de inúmeras medidas de precaução, há sempre um risco residual e um trojan infectar seu computador. Portanto, não negligencie backups de dados feitos periodicamente.

TrickBot em combinação com outros malwares

Emotet, TrickBot e Ryuk: uma combinação fatal para seus dados

Três e sempre demais, e esse é o caso da perigosa combinação do Trickbot, Emotet e Ryuk. A combinação desses três programas de malware é particularmente nociva e fazem os dados de um único ataque do TrickBot parecer brincadeira. Os três programas trabalham juntos perfeitamente e assim podem maximizar os danos. O Emotet representa o início da infestação e realiza as tarefas clássicas de um trojan, abrindo as portas para o TrickBot e o Ryuk e, assim, para os criminosos. Na próxima etapa, os invasores usam o TrickBot para obter informações sobre o sistema infectado e para se distribuir na rede da melhor maneira possível. Na última etapa, o criptotrojan Ryuk é implementado no maior número possível de sistemas e criptografa o disco rígido, de acordo com as ações do ransomware . Além disso, quaisquer backups de dados encontrados também serão excluídos.

TrickBot e IcedID: uma equipe de trojan bancário particularmente eficiente

Esta não é a única combinação na qual o TrickBot aparece. A combinação TrickBot e IcedID é igualmente perigosa. Esses dois Trojans bancários combinados causam um ataque ainda mais direcionado aos dados bancários. O malware IcedID é transmitido quando é aberto pela vítima via Malspam, por exemplo. Isso inicia o download do malware TrickBot. O TrickBot pode então executar suas tarefas habituais de espionagem e descobrir que tipo de fraude financeira pode aplicar.

TrickBot e Windows Defender

Malwares como o TrickBot já encontraram maneiras de evitar a detecção pelo Windows Defender. O especial no TrickBot, no entanto, é que ele não só é capaz de operar sem ser detectado, mas chega até mesmo ao ponto de desativar completamente o Windows Defender.

Resumo

O TrickBot representa uma ameaça ao seu computador por causa de sua atividade principal: roubar credenciais. Além disso, sua mutabilidade e os inúmeros plugins que carrega consigo fazem dele persona non grata no seu dispositivo. Os ataques do TrickBot são particularmente fatais se ocorrem em conjunto com outros malwares. Isso torna ainda mais importante detectar o malware o mais rápido possível, utilizando um excelente software de segurança e mantendo um alto nível de atenção. Isso pode deixar a área livre para a entrada de mais malware.

TrickBot: um botnet multifacetado

Aprenda a se proteger do trojan bancário TrickBot. ✓ Reconheça o TrickBot ✓ Evite o recheio de credenciais ✓ Elimine o vírus
Kaspersky logo

Artigos relacionados