TrickBot Banking Trojan-Trojan visando máquinas Windows

Publicados: 2019-01-17

Pessoas em todo o mundo estão sob constante ameaça de vários malwares projetados para obter lucros ilícitos ou roubar dados pessoais. Mas há especificamente um tipo que é o mais odiado; eles são Trojans bancários. Repetidamente, eles aparecem de diferentes formas e exploram os usuários. Mas o pior que chamou a atenção recentemente é o Trojan TrickBot Banking, que tem como alvo as máquinas Windows. Descobriu-se que esse Trojan específico impactou com sucesso a Austrália, a Ásia e a América Latina. Agora também está passando pela Argentina, Peru e Chile, planejando infectar milhões de máquinas. Você pode determinar a intensidade de sua notoriedade e danos pelo fato de que eles conseguiram enviar mais de 75.000 e-mails em 25 minutos, supostamente do Lloyds Bank, Reino Unido, em 2017.

Trojan TrickBot
Fonte: – jornal de segurança

O que é o Tribot?

Este é um dos Trojans bancários mais ativos do mercado, que possui uma infinidade de recursos, incluindo redirecionamentos de URL e injeções na web. Isso foi identificado e descoberto pela primeira vez em outubro de 2016 na Austrália. Estima-se que o Trickbot seja operado e gerenciado por um grupo de indivíduos com alcance global. Além disso, eles são inteligentes, pois atacaram através de diferentes técnicas, ou seja, Redirecionamento 40% das vezes e deixaram 60% para injeções na web. É um padrão que foi visto em 40 países agora.

Esse malware está sendo entregue aos usuários por meio de e-mails de phishing, mas eles também começaram a explorar outras práticas de distribuição, como sites falsos. Nesses casos, eles operam principalmente por meio de injeções na web.

Trickbot
Fonte: – trendmicro

Injeções da Web

O navegador da Web está infectado pelo malware, que mantém uma verificação em todos os sites que você visita. Tudo permanece inalterado até que você visite um site bancário. O principal objetivo dos invasores é phishing de usuários por meio de sites bancários, onde assim que o usuário visita qualquer site bancário, um código é interceptado pela rede para roubar informações pessoais e credenciais inseridas.

O que é mais perturbador nas injeções da web é que você não pode dizer nada apenas olhando para os sites, porque não é o site que está infectado, mas o navegador da web. Nesse cenário, como podemos identificar atividades anormais? Bem, ninguém pode fazer isso a menos que acesse o código-fonte da página bancária.

Se o seu navegador não estiver infectado, os códigos serão relativamente menores, mas se estiver, você verá algumas novas funções estranhas nele. Às vezes, as funções adicionais ou conjunto de códigos têm comentários que nos informam sobre sua funcionalidade, ou seja, roubando as credenciais e informando os hackers sobre o mesmo.

Redirecionamento de URL

Trojan bancário TrickBot

Embora existam casos em que o redirecionamento de URL tenha sido usado, essa prática está se tornando escassa. A razão por trás é o fato de que qualquer redirecionamento é identificável. Novamente, os hackers só podem criar URLs semelhantes e não exatos para redirecionar uma pessoa durante a navegação devido às regras de registro de nomes de domínio. E isso pode ser percebido se alguém estiver prestando atenção nas URLs.

O que o Trickbot faz?

O malware é relatado como tendo muitos recursos maliciosos que incluem: –

  • Inicie a comunicação entre os dispositivos infectados e o servidor de comando.
  • Roube informações confidenciais, como credenciais bancárias, informações pessoais, etc., explorando sessões de navegação na web.
  • Colete informações detalhadas sobre máquinas e redes afetadas.
  • Comprometa senhas de contas que são salvas online, introspecção de cookies e histórico da web.
  • Amplie seu alcance infectando outras máquinas na rede infectada.
  • Configure outras ferramentas para fins maliciosos, como clientes VNC, ferramenta de acesso remoto ou ransomware.

Como funciona o Trojan Trickbot?

Trojan TrickBot
Fonte: – socprime

Leia também: Emotet Trojan - um Trojan bancário que evoluiu perigosamente

Uma vez implantado, o trojan bancário TrickBot se duplica em%APPDATA% e remove a amostra original.

Além disso, ele adiciona dois arquivos chamados client_id e group_tag. Eles são criados localmente e utilizados para detectar o bot individual e a operação à qual ele está associado. Esses arquivos não são criptografados e contêm texto em Unicode.

client_id : inclui o nome da máquina infectada, a versão do SO e uma string gerada aleatoriamente.

A pasta contém um arquivo chamado config.conf. Ele é baixado através do servidor Command & Control (C&C) e codificado.

Nota : C&C ou C2 são utilizados por ciberataques para gerenciar comunicações com máquinas infectadas dentro de uma rede infectada.

Uma pasta conhecida como Módulos é gerada em %APPDATA%. Outros arquivos baixados via C&C são injectDll32 e systeminfo32.

injectDll32 – É um módulo bancário que injeta DLLs dentro de navegadores de destino para iniciar o roubo de credenciais

systeminfo32 – É usado para coletar informações gerais do sistema

Esses arquivos também são codificados. Além disso, a lista de navegadores de destino é codificada dentro de injectDll32.dll. O TrickBot torna-o eficaz acumulando-se como uma tarefa no Agendador de Tarefas do Windows. A tarefa é simplesmente chamada de 'Bot' e nenhuma tentativa é feita para ocultar esta tarefa. No entanto, se você tentar eliminar a tarefa, o Mecanismo do Agendador de Tarefas a reiniciará automaticamente.

Comunicação de rede

O malware TrickBot se comunica com diferentes servidores. A princípio, ele se comunica com um servidor válido para obter um IP visível. Surpreendentemente, ele consome seu próprio User Agent, ou seja, TrickLoader ou BotLoader, e não tenta se mascarar como um navegador autêntico. Mas a maior parte da comunicação do TrickBot com o centro de comando e controle é criptografada por SSL.

client_id e group_id, são usados ​​na URL da solicitação POST seguida pelo comando id. Essa foi uma característica observada no malware Dyreza. Além disso, uma carga adicional é carregada sem criptografar o tráfego de rede. C&Cs são instalados em roteadores sem fio comprometidos, ou seja, MikroTik. Esse é outro recurso comum entre Dyreza e TrickBot. Outra coisa estranha sobre o TrickBot é que ele nem tenta copiar nomes de aparência autêntica para certificados HTTPs. Eles incluem dados totalmente aleatórios. Por exemplo: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Sintomas de que seu sistema é afetado

Os usuários do endpoint não verão nenhuma alteração, mas o administrador da rede verá. O sintoma mudará no tráfego ou nos esforços para alcançar URLs restritos e IPs na lista negra. Isso acontece porque o malware está tentando encaminhar os dados para hackers. Ele tenta retirar dados e receber tarefas do servidor de Controle e Comando (C&C).

Consequências

Como esse Trojan usa a vulnerabilidade EternalBlue, ele se concentrará em afetar toda a rede e não apenas uma máquina. Isso implica que, uma vez que sua rede seja afetada, não há saída. Você pode limpar uma máquina específica, mas não toda a rede. Até certo ponto, isolar as máquinas infectadas e trabalhar para remover esse Trojan pode ser eficaz.

Aqui estão alguns passos que você pode seguir se as máquinas de rede forem afetadas: –

  1. Detectar máquina(s) infectada(s).
  2. Isole-os da rede.
  3. Use o Patch para EternalBlue.
  4. Restringir Ações Administrativas.
  5. Bloqueie anexos com várias extensões de arquivo, como:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Remova o Trojan bancário TrickBot.
  2. Altere as credenciais da conta.

Deve ler: IcedID Novo Trojan Bancário

O Veredicto Final

Este é altamente perigoso não apenas por sua agressividade, mas também por sua constante evolução. Os operadores desse Trojan bancário também começaram a segmentar usuários em e-mails do Outlook, dados de navegação e até criptomoedas. Precisamos criar um mecanismo de defesa em breve se não quisermos ver nossas carteiras e contas vazias!