Geral 2min de Leitura

O malware temido pelo FBI

Triangulo com um ponto de exclamação dentro e embaixo pode-se ler "malware"

This post is also available in: Português

Nova forma de agir do Trickbot preocupa a famosa instituição, bem como a agência de cibersegurança dos Estados Unidos.

Longe de ser uma novidade, o Trickbot voltou a dar dor de cabeça a importantes órgãos de segurança, segundo um consultor conjunto do FBI e da Cybersecurity and Infrastructure Security Agency (CISA).

Quando surgiu, o Trickbot era um cavalo de Troia bancário, mas se tornou uma das ferramentas mais poderosas disponíveis para os criminosos cibernéticos. Afinal, pode dar acesso a máquinas infectadas para entregar seu próprio malware, incluindo ransomwares.

Entretanto, o que mais preocupa agora é que seus criadores estão usando uma nova tática para tentar entregá-lo às vítimas. São utilizados e-mails de phishing bastante convincentes, que alegam conter provas de violação de tráfego.

Como age o mal

Cada e-mail dessa nova classe maliciosa contém um link, que envia os usuários a um site hospedado em um servidor comprometido pelos crackers. A mensagem pede para clicar em uma foto para ver a prova. Ao clicar no arquivo, é feito o download de um arquivo JavaScript que, quando aberto, se conecta a um servidor de comando e controle que baixará o Trickbot em seu sistema.

O malware cria um backdoor em máquinas com Windows, permitindo que os invasores roubem informações confidenciais, incluindo credenciais de login. Nesse contexto, já se sabe que algumas versões do Trickbot são capazes de se espalhar por redes inteiras.

A natureza modular do Trickbot significa que é altamente personalizável, com ataques adicionais de malware conhecidos por incluir a eliminação de outros malwares – como Ryuk ou Conti ransomware – ou, até recentemente, servindo como um downloader para malware Emotet. O Trickbot também é capaz de explorar máquinas infectadas para criptomineração, ou seja, para minerar moedas digitais como Bitcoin e Litecoin.

Combate difícil

Uma coalizão de empresas de segurança cibernética tentou interromper o Trickbot em outubro do ano passado. Contudo, as medidas não foram eficientes por muito tempo, e os cibercriminosos retomaram rapidamente suas operações.

“Os esforços de remoção em outubro provavelmente não interromperiam ou desabilitariam permanentemente esse malware. Ele tem uma infraestrutura forte, com incrível capacidade de continuar operando”, disse Sherrod DeGrippo, diretora sênior de pesquisa e detecção de ameaças da multinacional Proofpoint.

“Remover completamente o Trickbot do cenário seria extremamente difícil e provavelmente exigiria um esforço coordenado de aplicação da lei internacional, como vimos com o Emotet. Na verdade, após as ações de outubro de 2020, vimos as campanhas do Trickbot voltarem a funcionar, e ele está ativo desde então”, acrescenta.

O que fazer

Já está claro que o Trickbot continua sendo uma ferramenta poderosa para criminosos cibernéticos e um perigo sério para empresas de todos os tamanhos. Mas existem medidas recomendadas pela CISA e pelo FBI que podem ser tomadas para ajudar a proteger as redes contra o malware.

Fornecer treinamentos sobre e-mails de engenharia social e phishing para funcionários é algo que ajuda a evitar ameaças do tipo, podendo torná-los cautelosos com certos tipos de mensagens.

As empresas também devem implementar um programa de segurança cibernética adequado, com um processo de gerenciamento de patches de segurança formalizado, para que os ataques cibernéticos não consigam explorar vulnerabilidades conhecidas para se firmar na rede.

Também é recomendado que a autenticação multifator seja aplicada em toda a estrutura. A ideia é que o malware que rouba credenciais de login para se mover pela rede não tenha condições de fazer isso tão facilmente. Em suma, prevenir continua sendo o melhor remédio. Afinal, no momento nem as famosas instituições dos Estados Unidos conseguem frear o Trickbot.

This post is also available in: Português