O Cavalo de Troia TrickBot evoluiu mais uma vez, enganando uma eficiente ferramenta do Windows e mantendo seu lugar na lista de invasores mais avançados do planeta.
Os recentes acontecimentos envolvendo o Coronavírus ligaram o alerta em todo o planeta sobre os perigos das mutações dos vírus. Espécies semelhantes se combinam, evoluem e acabam dando origem a novas variedades bem mais agressivas – em uma lógica que lembra o que acontece também com os vírus de computadores.
É o caso do TrickBot, uma das ameaças do tipo Cavalo de Troia mais conhecidas e intrigantes da atualidade. Há poucos dias, foi descoberta uma evolução do TrickBot que é capaz de instalar-se em sistemas com Windows 10 sem ser percebida. Isso é possível porque recebeu um recurso que pode ignorar a atividade do Controle de Conta de Usuário (UAC, na sigla em inglês). É aquela janela que pula na tela toda vez que alguém tenta instalar algum software – ou quando um programa malicioso tenta sorrateiramente instalar-se sozinho.
A novidade foi trazida a público pela equipe de pesquisadores do Morphisec Labs, que diz já ter percebido o problema no ano passado. Esse malware em especial é perigoso exatamente por estar em constante evolução, com novas funcionalidades para tornar ainda mais difícil sua detecção. “Quase todos os dias ele recebe atualizações, o que o torna muito avançado”, destaca o pesquisador de segurança da Morphisec, Arnold Osipov.
Nascido para o crime
Desenvolvido em 2016, o TrickBot era, no começo, um malware bancário que substituiu o Dyre, que também causou bastante dores de cabeça mundo afora ao furtar informações das contas correntes de milhares de pessoas. A questão é que, desde então, o sucessor especializa-se em ser uma ferramenta multifuncional de ataques virtuais baseada em módulos, voltada especificamente para empresas. Nesse contexto, um de seus diferenciais é o alto poder de rapidamente encontrar novas maneiras de invadir, uma rara versatilidade no mundo dos ataques cibernéticos.
Todo esse poder pode ser fruto dos esforços de grupos criminosos de grande renome. Existem evidências de que a instituição por trás do TrickBot estabeleceu uma parceria com o grupo norte-coreano APT Lazarus, através de uma estrutura de ataque concebida pela TrickBot, batizada de Anchor Project. É algo que torna as ações de combate ainda mais necessárias, porém duelando com gigantes dos crimes cibernéticos.
Como passou a agir o TrickBot
Conforme o relatório da Morphisec, primeiro há uma verificação sobre qual Windows está sendo executado. No caso do 10, é uma condição essencial para o malware usar o recurso WSReset para desviar da UAC. Dessa maneira, o TrickBot aproveita-se do processo WSReset.exe, um executável da Microsoft que é usado para redefinir as configurações da Windows Store.
A chave para o sucesso da nova funcionalidade é que a propriedade ‘autoElevate’ no processo esteja definida como “true”. É isso que permite ao desvio da UAC ser usado para obter privilégios.
Se for esse o caso, o TrickBot descriptografa suas sequências de caracteres para usar o desvio da UAC pelo WSReset, como o caminho do registro e o comando a ser executado. Em seguida, o cavalo de Troia usa o “reg.exe” para adicionar as chaves relevantes que permitem o uso do desvio.
A etapa final do novo recurso é executar o WSReset.exe, fazendo com que o TrickBot seja executado com privilégios elevados sem um prompt do UAC. O TrickBot faz isso usando a API ShellExecuteExW, um executável final que permite ao vírus colocar o seu “veneno” em todo o sistema.
Acompanhe as OSTEC nas redes sociais para ficar por dentro de todo nosso conteúdo: Instagram, Facebook, Linkedin, Twitter.
