This post is also available in: Português
Pouco tempo após suas operações serem interrompidas por uma aliança de empresas de tecnologia e segurança digital, o malware Trickbot está de volta com uma nova campanha.
O Trickbot começou como um cavalo de Tróia bancário, evoluindo para se tornar um malware altamente popular entre cibercriminosos. Isso porque sua natureza modular permitia que fosse usado em diferentes tipos de ataques, incluindo o roubo de credenciais de login e a capacidade de se propagar pela rede, espalhando ainda mais a infecção.
Ele se tornou até mesmo um “transportador” para outros tipos de malware, com os cibercriminosos aproveitando as máquinas já comprometidas pelo Trickbot como meio de entregar outras cargas maliciosas, incluindo ransomware.
A infraestrutura por trás do botnet Trickbot foi interrompida em outubro de 2020, por uma aliança liderada pela Microsoft. Porém, pesquisadores da Menlo Security identificaram uma campanha de malware em andamento que possui as marcas da atividade anterior do Trickbot.
Os ataques têm como alvo exclusivo empresas jurídicas e de seguros na América do Norte, com e-mails de phishing incentivando vítimas em potencial a clicar em um link que as redirecionará para um servidor que baixa uma carga maliciosa.
Os e-mails fazem uso da engenharia social, afirmando que a vítima sofreu uma infração de trânsito e a direciona para o download do documento que comprova o delito.
O arquivo para download é um documento zipado que contém um arquivo JavaScript malicioso – técnica típica implantada por campanhas do Trickbot – que se conecta a um servidor para baixar a carga final do malware.
A análise realizada nessa carga indica que ela se conecta a domínios que são conhecidos por distribuir malware Trickbot, indicando que ele está novamente ativo e pode representar uma ameaça às redes corporativas de todo o mundo.
Segundo o diretor de pesquisa de segurança da Menlo Security, Vinay Pidathala:
“Onde há vontade, há um caminho. Esse provérbio certamente é verdadeiro para os malfeitores por trás das operações do Trickbot.
Embora as ações da Microsoft e de seus parceiros tenham sido louváveis e a atividade do Trickbot tenha diminuído, os cibercriminosos parecem estar motivados o suficiente para restaurar as operações e lucrar com o ambiente de ameaça atual”.
A National Cyber Security Center (NCSC) do Reino Unido, fez um comunicado sobre o Trickbot, onde recomenda que as organizações usam as versões mais recentes de sistemas operacionais e software com suporte e apliquem patches de segurança para impedir que o Trickbot e outros malwares que exploram vulnerabilidades conhecidas se espalhem.
É altamente recomendável que as organizações apliquem a autenticação de dois fatores em toda a rede, para que, no caso de uma máquina ser comprometida por malware, seja muito mais difícil de se espalhar.
Via: ZDNet.
This post is also available in: Português
