A Check Point detecta um ninja moderno: malware Trickbot

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, descobriu detalhes sofisticados da implementação do Trickbot, sabendo que este trojan bancário infectou mais de 140 mil máquinas de clientes da Amazon, Microsoft, Google e outras 57 corporações em todo o mundo, desde novembro de 2020.

Os autores do Trickbot estão buscando seletivamente alvos de alto perfil para roubar e comprometer seus dados confidenciais. Além disso, a infraestrutura do Trickbot pode ser utilizada por várias famílias de malware para causar mais danos em máquinas infectadas. Os pesquisadores da Check Point Software orientam aos usuários que abram apenas documentos de fontes confiáveis, pois os autores do Trickbot estão aproveitando as técnicas evasivas (como antianálise e contra desobstrução que dificulta a leitura de um código) para persistirem nas máquinas.

Principais detalhes de implementação do Trickbot
 O malware é muito seletivo na escolha de seus alvos.
Vários truques (como antianálise e contra desobstrução) implementados dentro dos módulos mostram a formação altamente técnica dos autores.
A infraestrutura de Trickbots pode ser utilizada por várias famílias de malware para causar mais danos em máquinas infectadas.
Malware sofisticado e versátil com mais de 20 módulos que podem ser baixados e executados sob demanda.

Como funciona o Trickbot:
 Os atacantes recebem um banco de dados de e-mails roubados e enviam documentos maliciosos para os endereços escolhidos.
O usuário baixa e abre tal documento, permitindo a execução de macro no processo.
O primeiro estágio do malware é executado e a carga útil (payload) principal do Trickbot é baixada.
O payload principal do Trickbot é executado e estabelece sua persistência na máquina infectada.
Os módulos auxiliares do Trickbot podem ser carregados na máquina infectada sob demanda pelos atacantes, e a funcionalidade desses módulos pode variar: é possível estar se disseminando pela rede corporativa comprometida, roubando credenciais corporativas e detalhes de login para sites bancários, entre outras ações.

Escala de Impacto
A tabela a seguir mostra a porcentagem de organizações afetadas pelo Trickbot em cada região:

Região Organizações afetadas Porcentagem
Global 1 de cada 451 2,2%
APAC 1 de cada 30 3,3%
América Latina 1 de cada 47 2,1%
Europa 1 de cada 54 1,9%
África 1 de cada 57 1,8%
América do Norte 1 de cada 69 1,4%

“Os números do Trickbot foram surpreendentes. Documentamos mais de 140 mil máquinas direcionadas aos clientes de algumas das maiores e mais conceituadas empresas do mundo. Passamos a observar que os autores do Trickbot têm as habilidades para abordar o desenvolvimento de malware de um nível muito baixo e prestar atenção aos pequenos detalhes”, relata Alexander Chailytko, gerente de Segurança Cibernética, Pesquisa & Inovação da Check Point Software Technologies.

“O Trickbot ataca vítimas de alto perfil para roubar as credenciais e fornecer a seus operadores acesso aos portais com dados confidenciais, onde podem causar ainda mais danos. Ao mesmo tempo, sabemos que os operadores por trás da infraestrutura também são muito experientes no desenvolvimento de malware em alto nível. A combinação desses dois fatores é o que permite que o Trickbot continue sendo uma ameaça perigosa por mais de cinco anos. Por isso, recomendamos veementemente que as pessoas abram apenas documentos de fontes confiáveis e usem senhas diferentes em sites diferentes”, alerta Chailytko.

Principais orientações de segurança que farão toda a diferença
 Abrir apenas documentos recebidos de fontes confiáveis. Não habilitar a execução de macros dentro dos documentos.
Certificar-se de ter o sistema operacional e as atualizações de antivírus mais recentes em execução.
Usar senhas diferenciadas em sites diferentes.

A lista das empresas atacadas:
Companhia Área
Amazon E-commerce
AmericanExpress Serviços de Cartão de Crédito
AmeriTrade Serviços Financeiros
AOL Provedor de Serviços Online
Associated Banc-Corp Holding Bancária
BancorpSouth Banco
Bank of Montreal Banco de Investimentos
Barclays Bank Delaware Banco
Blockchain.com Serviços Financeiros de Criptomoedas
Canadian Imperial Bank of Commerce Serviços Financeiros
Capital One Holding Bancária
Card Center Direct Banco Digital
Centennial Bank Holding Bancária
Chase Banco para Consumidores
Citi Serviços Financeiros
Citibank Banco Digital
Citizens Financial Group Banco
Coamerica Serviços Financeiros
Columbia Bank Banco
Desjardins Group Serviços Financeiros
E-Trade Serviços Financeiros
Fidelity Serviços Financeiros
Fifth Third Banco
FundsXpress Gerenciamento de serviços de TI
Google Tecnologia
GoToMyCard Serviços Financeiros
HawaiiUSA Federal Credit Union Cooperativa de Crédito
Huntington Bancshares Holding Bancária
Huntington Bank Holding Bancária
Interactive Brokers Serviços Financeiros
JPMorgan Chase Banco de Investimentos
KeyBank Banco
LexisNexis Data mining (Mineração de dados)
M&T Bank Banco
Microsoft Tecnologia
Navy Federal Cooperativa de Crédito
Paypal Tecnologia Financeira
PNC Bank Banco
RBC Bank Banco
Robinhood Stock Trading (Negociação de Ações)
Royal Bank of Canada Serviços Financeiros
Schwab Serviços Financeiros
Scotiabank Canada Banco
SunTrust Bank Holding Bancária
Synchrony Serviços Financeiros
Synovus Serviços Financeiros
T. Rowe Price Gestão de Investimentos
TD Bank Banco
TD Commercial Banking Serviços Financeiros
TIAA Seguro
Truist Financial Holding Bancária
U.S. Bancorp Holding Bancária
UnionBank Banco Comercial
USAA Serviços Financeiros
Vanguard Gestão de Investimentos
Wells Fargo Banco
Yahoo Tecnologia
ZoomInfo Software as a service

Legenda mapa: Porcentagem de organizações impactadas pelo Trickbot (quanto mais escura a cor – maior o impacto)