A operação, coordenada entre a Eset, empresa que atua em detecção proativa de ameaças, a Microsoft, o centro de pesquisa Black Lotus Labs da Lumen e a NTT, entre outros, conseguiu desabilitar os servidores de comando e controle do Trickbot. A Eset participou da análise técnica, fornecendo informações estatísticas e IPs conhecidos e nomes de domínio dos servidores de comando e controle. O Trickbot é um botnet conhecido por roubar credenciais em computadores comprometidos, mas, nos últimos tempos, também realizou ataques mais prejudiciais, como os realizados por ransomware.
A Eset tem rastreado as atividades do botnet desde sua detecção, no final de 2016. Só em 2020, a plataforma de monitoramento da Eset analisou mais de 125.000 amostras maliciosas e baixou e descriptografou mais de 40.000 arquivos de configuração usados pelos diferentes módulos do Trickbot. Isso permitiu à empresa ter uma excelente visão geral dos servidores de comando e controle usados por este botnet.
“Durante todo esse tempo, observou-se que o Trickbot compromete dispositivos de forma estável, tornando-o um dos botnets de vida mais longa. Ele é uma das famílias de malware bancário mais importantes e representa uma ameaça aos usuários da Internet em todo o mundo”, explica Jean-Ian Boutin, chefe de pesquisa de ameaças da Eset.
Em seus anos de operação, a ameaça foi distribuída de diferentes maneiras. Por exemplo, o Trickbot foi recentemente visto sendo baixado para sistemas comprometidos pelo Emotet, outro botnet muito importante. No passado, ele era usado principalmente como Trojan bancário que roubava contas com o objetivo de fazer transferências fraudulentas. Como a Eset mencionou em seu relatório de ameaças do primeiro trimestre de 2020, o Trickbot é uma das famílias de malware bancário mais prevalentes.
Um dos plug-ins mais antigos desenvolvidos para a plataforma permitia que o Trickbot usasse ataques de injeção na web, uma técnica que permite que o malware faça alterações dinamicamente em páginas específicas que a vítima visita.
“Graças à nossa análise, coletamos dezenas de milhares de arquivos de configuração diferentes, portanto sabemos bem quais páginas da web a ameaça estava direcionando, principalmente sites de instituições financeiras”, acrescenta Boutin.
O que torna o Trickbot tão versátil é que suas funcionalidades podem ser amplamente expandidas com plug-ins. Ao longo do acompanhamento, a Eset coletou e analisou 28 plug-ins diferentes. Alguns pretendiam coletar senhas de navegadores, clientes de e-mail e uma variedade de aplicativos, enquanto outros eram capazes de modificar o tráfego de rede ou se autopropagar.
“Tentar eliminar esta ameaça é um verdadeiro desafio, uma vez que dispõe de diversos mecanismos de recuperação, e a sua ligação com outros atores muito ativos no mundo do crime torna a operação extremamente complexa”, conclui o investigador da Eset.
Para obter mais informações, a Eset disponibiliza o guia de ransomware, um documento que explica tudo sobre esse tipo de código malicioso. Além disso, também compartilhamos o kit Anti-Ransomware com informações sobre ameaças e medidas de prevenção: https://www.eset.com/br/antivirus-corporativo/kit-antiransomware/
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo