Trojan Trickbot está de volta em nova campanha de spam malicioso

Da Redação
02/02/2021

Pesquisadores de segurança alertam sobre o ressurgimento do trojan Trickbot, que teve sua infraestrutura interrompida por uma coalizão liderada pela Microsoft no ano passado.

A empresa de segurança cibernética Menlo Security disse ter observado uma nova campanha de spam malicioso, criada com o intuito de enganar usuários norte-americanos nos setores jurídico e de seguros para que baixem o trojan.

Nas campanhas anteriores do Trickbot, era comum o envio de anexos de e-mail com o incentivo aos usuários a clicarem em um link de phishing, que os redireciona para um servidor comprometido. Agora, depois de direcionar os usuários por uma cadeia de redirecionamento, eles recebem uma página da web avisando que foram considerados culpados de uma “infração de tráfego” não especificada.

Um grande botão de download os incentiva a clicar para ver as fotos de sua alegada “direção negligente”. Ao clicar no botão “Download Photo Proof” é baixado um arquivo zip com um arquivo JavaScript malicioso para o endpoint, explica a Menlo Security. “O JavaScript incorporado é ofuscado, o que tem sido uma TTP [táticas, técnicas e procedimentos] típica do malware Trickbot. Se o usuário abrir o arquivo JavaScript baixado, uma solicitação HTTP é feita ao servidor de comando e controle [C&C] para baixar o binário malicioso final.”

A URL inicial e o C&C usados ​​na campanha são rastreados no feed de ameaças URLHaus como associados ao Trickbot, afirmaram os pesquisadores. Pior, muitas das URLs usadas ​​no ataque ainda não foram detectadas no VirusTotal, ferramenta antivírus da empresa.

Veja isso
Coalizão de empresas de tecnologia anuncia remoção da botnet TrickBot
Emotet e TrickBot no topo do ranking de malwares mais uma vez

Havia grandes esperanças depois que a Microsoft e outros fornecedores de segurança usaram uma ordem judicial dos EUA para desabilitar todos os endereços IP usados ​​para hospedar o bot e “bloquear qualquer esforço dos operadores do Trickbot para comprar ou alugar servidores adicionais”.

No entanto, sem as prisões daqueles por trás de uma campanha maliciosa, é muito difícil impedi-los de reconstruir a infraestrutura do bot em outro lugar. Resta saber se a tentativa semelhante de interromper Emotet recentemente terá mais sucesso.

“Embora as ações da Microsoft e de seus parceiros tenham sido louváveis ​​e a atividade do Trickbot tenha diminuído, os operadores da ameaça parecem estar motivados o suficiente para restaurar as operações e lucrar com o ambiente de ameaça atual”, conclui a Menlo Security.

Compartilhar: