Descoberto módulo de captura de senha que pode ser usado para roubar chaves privadas de utilitários de criptografia para comunicações em rede e senhas e arquivos de configuração do software para criar redes privadas virtuais
Desde sua descoberta, em 2016, o trojan bancário Trickbot continua evoluindo. Pesquisadores de segurança descobriram nesta semana um módulo de captura de senha atualizado que pode ser usado para roubar chaves privadas do OpenSSH (conjunto de utilitários que provê criptografia em sessões de comunicações em uma rede) e senhas e arquivos de configuração do OpenVPN (software livre para criar redes privadas virtuais).
O TrickBot, também conhecido como Trickster, TrickLoader e TheTrick, é um malware modular e atualizado continuamente com novos recursos e módulos desde outubro de 2016. Embora as primeiras variantes detectadas venham apenas com os recursos bancários de trojan usados para coletar e filtrar dados confidenciais para seus mestres, o TrickBot agora também é um popular “conta-gotas” ao infectar sistemas com outras cepas de malware, às vezes mais perigosas.
O módulo de captura de senha recém-atualizado do Trickbot, que agora visa os aplicativos OpenSSH e OpenVPN, foi descoberto por pesquisadores da Unidade 42 da Palo Alto Networks em um dispositivo Windows 7 de 64 bits, comprometido em 8 de novembro.
O módulo de captura de senha pwgrab64 que eles encontraram não é uma novidade, pois foi descoberto por pesquisadores em novembro de 2018 ao analisar uma variante capaz de roubar senhas de vários navegadores da web e aplicativos como Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge, Microsoft Outlook, Filezilla e WinSCP.
Em fevereiro, esse módulo ladrão de senhas foi atualizado para obter credenciais utilizadas para autenticação em servidores remotos usando VNC, PuTTY e RDP (Remote Desktop Protocol). Os pesquisadores da Unidade 42 agora descobriram que o Trickbot agora está usando solicitações HTTP Post para enviar chaves privadas OpenSSH e senhas OpenVPN e arquivos de configuração para seus servidores de comando e controle (C&C). No entanto, como eles descobriram mais tarde, após examinar mais de perto o tráfego C&C do malware nos hosts infectados do Windows 7 e Windows 10, o trojan ainda não exfiltra dados, sugerindo que seus criadores estão apenas testando esse novo recurso. Entretanto, essa nova variante do Trickbot é tão perigosa quanto as anteriores, pois ainda pode roubar chaves privadas de aplicativos relacionados ao SSH, como o PuTTY, e entregá-las aos seus operadores.
