Pesquisadores de segurança da Cybereason lançam uma nova luz sobre o funcionamento do TrickBot.
Os grupos de ameaças TrickBot e Shathak unem forças
De acordo com as últimas descobertas, os atores da ameaça por trás do trojan TrickBot, conhecido como Wizard Spider, estão atualmente trabalhando em conjunto com o TA551 (Shathak) grupo de ameaça para distribuir malware TrickBot e BazarBackdoor, que são então usados para implantar o Conti ransomware em sistemas comprometidos. Os atores da ameaça têm usado os carregadores de malware para implantar o Conti desde março 2021.
Cybereason está alertando as organizações sobre spam malicioso distribuído por agentes da ameaça Shathak, na forma de arquivos protegidos por senha anexados a e-mails de phishing. Os arquivos contêm documentos maliciosos atados com macros que baixam e executam TrickBot ou BazarBackdoor. Os atores da ameaça conduzem outras atividades, incluindo reconhecimento, roubo de credencial, e exfiltração de dados, antes de lançar as operações maliciosas.
“A macro elimina uma linguagem de marcação de hipertexto da Microsoft (HTML) Formulários (HTA) no sistema de arquivos e, em seguida, executa o arquivo usando o utilitário mshta.exe do Windows. Atores mal-intencionados usam mshta.exe para executar arquivos HTA mal-intencionados e contornar soluções de controle de aplicativos que não levam em consideração o uso mal-intencionado do utilitário do Windows,” segundo o relatório.
A carga final da operação maliciosa é o Conti ransomware. Campanhas semelhantes anteriores foram usadas para entregar Ryuk.
É digno de nota que as versões recentes do TrickBot incluem recursos de carregamento de malware. O TrickBot é conhecido há muito tempo por apoiar várias campanhas de ataque realizadas por diferentes grupos de ameaças. Tanto os criminosos comuns quanto os atores do Estado-nação usaram a porta dos fundos.
“TrickBot desempenhou um papel importante em muitas campanhas de ataque conduzidas por diferentes atores de ameaças, de cibercriminosos comuns a atores estatais. Essas campanhas geralmente envolvem a implantação de ransomware, como o ransomware Ryuk," o relatório notado.
Conti é um agente de ameaça de ransomware de alto nível que fala russo, especializado em operações de extorsão dupla, em que a criptografia de dados e a exfiltração de dados acontecem simultaneamente. Uma das atualizações mais recentes do ransomware incluiu a capacidade de destruir backups de dados. https://sensorstechforum.com/conti-ransomware-destroying-data-backups/