O infame Trojan Trickbot agora também é capaz de roubar credenciais de navegadores da Web

Trickbot Streals Passwords From Browsers

Em pouco mais de dois anos, o Trickbot foi transformado de recém-chegado em um nome estabelecido no cenário de ameaças online. Por alguma razão, muitas pessoas continuam a classificá-lo como um Trojan bancário, mas quem realmente o analisou em detalhes sabe que é um pouco mais do que isso.

Trickbot é uma família de malware modular e altamente personalizável

Analisado pela primeira vez em outubro de 2016, o Trickbot é considerado o trabalho dos mesmos cibercriminosos que criaram Cutwail, Vawtrak e Pushdo. Quando surgiu em cena, era uma ameaça bastante simples, com um número limitado de instituições financeiras direcionadas. Uma atualização chegou cerca de um mês depois, no entanto, e os especialistas rapidamente perceberam que tinham um malware sério em suas mãos. Poucas semanas após o lançamento da primeira versão, os autores do Trickbot já haviam conseguido incluir o redirecionamento e os mecanismos de injeção na Web do lado do servidor em seus cavalos de Tróia. O Trickbot pode não ter sido o primeiro malware bancário a usar as duas técnicas, mas foi o primeiro a fazê-lo logo após seu lançamento. A gangue tinha mais do que alguns truques nas mangas.

Mesmo na primeira versão, os pesquisadores de segurança viram que o design do Trickbot permite a fácil adição de módulos que podem diversificar suas atividades criminosas. No verão de 2017, os bandidos implementaram um componente que roubava credenciais de login não apenas para contas bancárias, mas também para sistemas de gerenciamento de relacionamento com clientes e, pouco depois, eles adicionaram muitas novas entradas à lista de instituições financeiras direcionadas. A gangue Trickbot agora estava assediando usuários em quase vinte países.

Em julho de 2017, eles adicionaram um módulo de worm que tirou vantagem do agora infame protocolo SMB para se espalhar pela rede e, nos meses seguintes, eles experimentaram alguns componentes diferentes, como, por exemplo, um módulo de bloqueio de tela que possui felizmente permaneceu desativado. Agora, temos uma nova versão com mais funcionalidade.

O Trickbot raspa dados de navegadores e outros aplicativos

No mês passado, pesquisadores da Trend Micro e Fortinet notaram algumas amostras do Trickbot voando por aí.

Como costuma ser o caso, eles foram distribuídos com a ajuda de emails de spam. Para atrair as vítimas a abrir o anexo, os criminosos nomearam o arquivo "Sep_report.xls" e o que se seguiu foi o cenário típico de "ativar macros para visualizar o conteúdo".

Após a distribuição, o código baixou e executou o Trojan Trickbot, mas, quando examinaram mais de perto, os especialistas viram um módulo que não tinham visto antes. Ele veio na forma de um arquivo de 1 MB chamado "pwgrab32". Seu nome revela algumas de suas funcionalidades - roubar senhas.

Quando examinaram mais de perto o novo módulo, os especialistas viram que ele pode atacar a maioria dos principais navegadores. Ele rouba não apenas credenciais de login, mas também dados de preenchimento automático (que, em navegadores modernos, podem incluir detalhes de cartão de crédito e outras informações confidenciais) do Google Chrome, Mozilla Firefox e Internet Explorer. Havia também um mecanismo para a exfiltração de dados do Microsoft Edge, mas ele foi desativado quando a Fortinet e a Trend Micro os examinaram. Em seu lugar, os autores do Trickbot colocaram um componente que raspa as credenciais de login do cliente de email da Microsoft, o Outlook, além de alguns clientes FTP - FileZilla e WinSCP.

Temos discutido por salvar credenciais de login e outros dados no navegador não é uma idéia tão boa, e uma nova funcionalidade do Trickbot ilustra o ponto muito bem. Durante anos, os especialistas advogam o uso de ferramentas de gerenciamento de senhas independentes, como o Cyclonis Password Manager , e você pode começar a pensar em seguir seus conselhos.

Mesmo com um gerenciador de senhas, no entanto, o Trickbot ainda é uma ameaça a ser considerada, e a nova atualização mostra que os criminosos não têm intenção de retirá-lo tão cedo.

October 9, 2019