Um esforço conjunto foi feito para desligar a infraestrutura maliciosa usada para lançar ataques de malware TrickBot, no entanto, embora essa tentativa tenha sido bem-sucedida, descobertas recentes descobriram que as versões do Linux continuam a atacar os hosts. A variante do Linux foi encontrada para estar ativa em várias campanhas continuando nas intenções do vírus. O TrickBot é amplamente considerado um dos malwares mais perigosos dos últimos anos.
Versão do TrickBot Linux continua a atacar redes
Mesmo que a infraestrutura criminal TrickBot principal foi desativado por um coletivo de especialistas em segurança nos últimos tempos, a empresa de cibersegurança Netscout relata que os esforços foram movidos para a versão Linux do malware. Isso significa que o principal grupo de desenvolvimento transferiu seus esforços para outro grupo de máquinas que são definidas como o novo alvo. Este malware específico iniciou sua infecção em 2016 visando principalmente computadores baseados em Windows. Ao longo dos anos, vários grupos de hackers diferentes foram usados para modificar a base de código e adicionar módulos diferentes. Isso levou várias empresas de segurança e pesquisadores a criar defesas proativas contra as invasões em andamento.
Ao longo das últimas semanas,, um grupo conjunto entre o US Cyber Command e a Microsoft foi capaz de eliminar uma grande parte dos servidores controlados por hackers. Isso quase erradicou a ameaça e corrigiu muitos ataques em andamento que foram interrompidos. Contudo, isso não parou as infecções por completo. Um grupo de pesquisa de uma empresa chamada Netscout relataram que novas descobertas em torno do ressurgimento do Trickbot em sua variante do Linux. Pelo visto, grupos de hackers transferiram seus esforços para desenvolver esta parte do malware em vez do Windows.
Isso é evidente em um desenvolvimento recente chamado Âncora que foi criado no final de 2019 que é categorizado como uma estrutura backdoor baseada em TrickBot. Uma de suas características distintas é que ele depende do protocolo DNS para se comunicar com os servidores designados pelo hacker de uma forma difícil de rastrear. Isso torna a detecção de vírus muito difícil. Usando esta nova estrutura, as infecções feitas permitirão maior abuso, pois os ataques em andamento são difíceis de detectar e mitigar.
Na última atualização do Anchor o codebase foi movido para Linux o que mostra que as intenções dos hackers são se concentrar nesta plataforma. As amostras capturadas mostram que um novo sequência de infecção é implementada:
- Infecção inicial — Através do uso de diferentes táticas de distribuição de malware, a estrutura Anchor TrickBot será implantada no host de destino. Quando isso for feito, o código de execução relevante será iniciado.
- Instalação persistente — Ao inserir-se como um cron job, o vírus será instalado como um componente do sistema. Dependendo da configuração, isso pode ignorar certos recursos de segurança, iniciar automaticamente quando o computador for ligado, e pode alterar valores de configuração importantes.
- Coleta de informações — A análise do código mostra que o mecanismo revelará o endereço IP público dos computadores infectados e o retransmitirá aos hackers. Uma mudança nesta seção da configuração do malware pode incluir outros dados que devem ser sequestrados: arquivos pessoais do usuário, dados de aplicativos, e valores do sistema operacional.
- Conexão do servidor — A fase final é a conexão real com o servidor controlado por hacker. Isso permite que os hackers assumam completamente as máquinas, espionar as vítimas, e acessar seus dados.
A pesquisa sobre a campanha de hacking continua. Esperamos que em breve essas infecções também possam ser efetivamente interrompidas.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: