Pesquisadores de segurança descobriram uma nova versão se o TrickBot infame Trojan bancário, que tem sido amplamente utilizado para realizar campanhas de infecção e esquemas elaborados. A nova iteração agora inclui um módulo semelhante a um worm que lembra o ransomware WannaCry.
TrickBot Banking Trojan Evolved: Nova versão se espalha pela Internet
Pesquisadores de malware revelaram uma nova iteração do Trojan bancário TrickBot, uma das ferramentas de hackers mais capazes e amplamente usadas para realizar golpes e golpes elaborados. Foi visto em um ataque ao vivo na semana passada. Uma das melhorias encontradas na versão mais recente é um novo módulo de infecção que usa um mecanismo inspirado no ransomware WannaCry. Semelhante ao malware que usa SMB (Bloco de mensagens do servidor) pacotes para se infiltrar nos sistemas de destino. Eles são usados pelo serviço de compartilhamento de arquivos e impressoras pela maioria dos sistemas operacionais para trocar informações.
As versões adquiridas seguem um padrão de comportamento predefinido conforme definido pelos hackers, primeiro infectando os sistemas usando vulnerabilidades conforme definidas pelos criminosos. Descobriu-se que as novas amostras se infiltram por meio do novo exploit e fazem a varredura da rede local em busca de domínios. Depois que o malware se infiltra na rede, ele pode encontrar outros computadores usando o protocolo LDAP (Protocolo de acesso a diretório leve) usado pelo serviço Active Directory. De acordo com a pesquisa, o recurso ainda não está totalmente completo e sua implementação não está otimizada.
TrickBot é um malware sofisticado que é capaz de extrair informações confidenciais dos hosts infectados. Isso inclui credenciais de conta, dados de formulário armazenados dos navegadores, história, padrões de comportamento e etc. Os dados são retransmitidos para os hackers por meio de uma conexão de rede e eles podem usá-los para realizar roubo de identidade e fraude financeira.
O ataque contínuo do cavalo de Troia TrickBot Banking
Desde julho 17 este ano, houve pelo menos três campanhas de spam em grande escala que carregam o Trojan bancário Trickbot como a carga útil principal. Os hackers por trás dele usam mensagens de spam que incluem arquivos WSF maliciosos. Eles são arquivos de script do Windows que fingem ter sido enviados por uma conhecida empresa australiana de telecomunicações. Os arquivos são colocados em mensagens de arquivo e usam domínios diferentes que são registrados pelos hackers.
Todos os e-mails usam nomes falsificados e mensagens de modelo. Alguns exemplos incluem o seguinte: Coisa (Hal@sabrilex.ru), Diann (Diann@revistahigh.com.br), Melba (Melba@eddiebauer4u.com) e outros. Esses e-mails tentam fazer com que os alvos baixem um arquivo infectado por ZIP com o IMG (imagem) prefixo seguido por um número gerado aleatoriamente. Arquivos de exemplo incluem: IMG_4093.ZIP, IMG_4518.ZIP, IMG_0383.ZIP e outros.
Um ataque anterior usou anexos PDF contendo documentos infectados do Office. A campanha em questão usou planilhas .xlsm incorporadas contendo macros maliciosas. Assim que forem instalados no sistema comprometido, um script embutido é ativado e baixa o Trojan bancário TrickBot de um local remoto.
Mais detalhes sobre o Trojan TrickBot Banking
O Trojan bancário Trickbot inclui duas funções que são usadas pelos serviços de rede:
- MachineFinder - Este módulo lista todos os servidores disponíveis na rede comprometida. Este é o primeiro estágio de reconhecimento realizado depois que o Trojan bancário Trickbot se infiltrou no sistema.
- Netscan - Enumera o diretório ativo local, iniciando comandos integrados.
Os especialistas descobriram que as versões atuais do Trojan bancário TrickBot usam uma implementação python para iniciar os comandos. A iteração encontrada é compatível com todas as versões modernas da família do sistema operacional Microsoft Windows:janelas 2007, janelas 7, janelas 2012 e Windows 8. Um dos principais objetivos do malware é lançar uma instância do PowerShell, uma vez lançado, ele baixa uma amostra secundária de TrickBot em um compartilhamento de rede acessado sob o nome “setup.exe”. Isso permite que o Trojan bancário TrickBot se espalhe pela rede e se copie de forma semelhante ao ransomware WannaCry.
O impacto global do cavalo de Troia TrickBot Banking continua a aumentar
O Trojan bancário TrickBot é um dos malwares mais usados para roubar credenciais bancárias. Ele tem sido usado extensivamente por vários grupos criminosos desde que suas primeiras iterações ganharam destaque no ano passado em ataques em grande escala. O TrickBot é direcionado tanto a usuários individuais quanto a instituições financeiras - ele se tornou famoso por mensagens de e-mail diárias contendo anexos maliciosos ou hiperlinks que levam a instâncias do TrickBot. A maioria dos grandes ataques foi dirigida contra bancos localizados nos EUA.
Desde julho deste ano, uma nova campanha de spam está em andamento, usando o poderoso botnet Necurs para entregar as amostras de malware a potenciais vítimas em todo o mundo. Um dos países mais afetados é o Reino Unido, EUA, Nova Zelândia, Dinamarca, Canadá e outros, Lembramos aos nossos leitores que esta é uma das maiores redes de bots do mundo, a qualquer momento, há cerca de um milhão de bots (hospedeiros infectados) que pode ser usado para lançar um ataque massivo.
Vítimas de computador podem escanear seus computadores em busca de infecções ativas e proteger seus sistemas de ataques recebidos usando uma solução anti-malware de qualidade.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: