Trickbot Malware tem novos truques na manga: amostras com tema de coronavírus enganam produtos de segurança e visam empresas de telecomunicações

Em 2016, o Trickbot começou sua vida como um trojan bancário humilde, mas rapidamente se tornou aparente que era muito mais do que isso. No momento, quase quatro anos depois, provavelmente é seguro dizer que é a família de malware mais usada no mundo, e não há nada que sugira que os cibercriminosos se afastem disso em breve.

Seu principal apelo reside na versatilidade, proveniente de seu design modular. Os criadores de malware podem desenvolver e adicionar plugins e facilmente fazer o cavalo de Troia executar uma ampla gama de tarefas. Enquanto isso, com alguns ajustes, o Trickbot pode se tornar mais furtivo e extremamente difícil de remover. Amostras recentes descobertas por pesquisadores de segurança mostram por que os cibercriminosos adoram tanto.

As amostras do Trickbot usam o pânico em torno do surto de coronavírus para evitar soluções de segurança

O Trickbot, como muitas outras famílias de malware, está usando a atual pandemia de coronavírus em suas campanhas. Ao contrário de outras gangues, no entanto, os operadores do Trickbot não usam o surto para enganar as vítimas para abrir um arquivo ou clicar em um link. Desta vez, o coronavírus desempenha um papel importante na enganação do computador.

De acordo com o site de notícias de segurança Bleeping Computer, recentemente, os criminosos fizeram alterações no crypter do malware - um programa projetado para criptografar o código do executável e torná-lo legítimo. Os pesquisadores examinaram as propriedades dos novos arquivos e descobriram que as seqüências de notícias do Coronavirus eram colocadas em campos como "Descrição do arquivo", "Nome do produto" e "Direitos autorais".

Parece uma jogada estranha. Afinal, a triste verdade é que é improvável que os usuários comuns pesquisem um arquivo desconhecido com tantos detalhes antes de iniciá-lo, e mesmo que o tenham feito, há uma boa chance de serem confundidos por uma página Propriedades que se parece com isso. Existe um método por trás de tudo isso, no entanto.

Vitali Kremez, do SentinelLabs, disse ao Bleeping Computer que provavelmente é uma técnica de evasão de detecção. Aparentemente, os operadores do Trickbot o usaram no passado e parece ser especialmente eficaz contra soluções de segurança que dependem de inteligência artificial e aprendizado de máquina.

Essas novas adições sugerem que os operadores do Trickbot estão determinados a comprometer seus objetivos com êxito. A propósito, isso também é apoiado por pesquisas não relacionadas conduzidas pela Bitdefender no início deste mês.

O Trickbot ataca alvos através do RDP

Os pesquisadores da Bitdefender estavam monitorando o comportamento do Trickbot quando, no final de janeiro, perceberam que os bandidos estavam promovendo uma atualização. Havia um novo modelo que os especialistas não tinham visto antes. Algumas das funcionalidades não estavam funcionando corretamente, o que mostrou que a atualização ainda estava em andamento, mas, apesar disso, conseguiu dar aos especialistas uma idéia de quais poderiam ser os planos futuros dos criminosos.

O novo módulo, juntamente com um arquivo de configuração, é baixado de um dos muitos servidores de Comando e Controle (C&C) disponíveis após uma infecção bem-sucedida. O Trickbot recebe uma lista de destinos e sua primeira tarefa é verificar se eles têm seus serviços RDP (Remote Desktop Protocol) ativados. Se um destino tiver um RDP aberto, seu nome será enviado de volta ao C&C por meio de uma solicitação POST. O servidor responde com uma coleção de nomes de usuário e senhas que o Trickbot usa para tentar forçar brutalmente e comprometer a organização de destino.

É difícil dizer se o novo módulo já foi usado na natureza. Com base na lista de alvos que o pesquisador da Bitdefender viu, no entanto, em breve poderá ser desencadeado contra empresas de telecomunicações nos EUA e Hong Kong. Os bandidos também podem estar de olho em empresas do setor financeiro, bem como em organizações que lidam com educação e pesquisa científica.

As duas novas adições representam as últimas de uma longa linha de atualizações que os operadores do Trickbot adicionaram ao malware. Só podemos adivinhar em que direção o trojan vai seguir, mas podemos ter certeza de que ele continuará sendo o favorito dos cibercriminosos.