Trojan

Trickbot: como e por que esse malware ressurgiu

Paulo Brito
17/07/2021

O malware Trickbot, que foi supostamente liquidado em outubro de 2020 por uma coalizão liderada pela Microsoft, está de volta como uma das ameaças mais frequentes no mundo, embora não seja prevalente no Brasil. E na opinião do especialista e caçador de malwares Fábio Assolini, analista sênior de segurança da Kaspersky no Brasil, não será fácil acabar com ele. A principal razão para isso é que esse malware não é operado apenas por uma pessoa ou por um grupo, mas por muita gente, como “malware as a service” explica Assolini: “São vários operadores, com ‘builds’ diferentes, de modo que quando um grupo ou célula é preso, em algum momento outros vão continuar a disseminar o malware”. A derrubada dos servidores de comando e controle em outubro foi uma operação muito importante, observa o analista da Kaspersky, mas ele já sabia que o problema não terminaria ali: “Toda a operação feita inclusive com as forças policiais, como essa, é bem-vinda porque se desmonta uma infraestrutura utilizada por esses criminosos”. 

Mas isso não encerra o problema, alerta Assolini, porque embora a coalização tenha obtido e retido os domínios utiizados pelos criminosos, porque “outros entram em ação, contratam outras infraestruturas e continuam os ataques”. As operações com o uso de Trickbot se tornaram atraentes, entre outras coisas, porque elas migraram de tradicionais ataques a credenciais de internet banking para roubo de credencais de acesso a redes e servidores, e posterior venda dessas credenciais aos operadores de ransomware, detalha o analista da Kaspersky: “No início eles eram especializados em ataques a internet bankink, mas hoje não mais.

Eles são especializados em vender acessos a operadores de ransomware, já que o Trickbot opera como backdoor na máquina”. O Brasil está sob ataque desse malware embora não seja o país mais atacado do mundo, observa Assolini. Segundo as estatísticas da Kaspersky, os cinco países mais atacados nos últimos 12 meses são, pela ordem, Irã, China, Costa Rica, Arábia Saudita e Brasil (com 8% das detecções).

Veja isso
Gangue espanhola atacava com malware brasileiro
Trojan brasileiro ataca correntistas na AL e países da Europa

O que torna o Trickbot particularmente perigoso é o fato de que ele está em constante desenvolvimento, em constante mudança, comenta Assolini: “Os ‘sabores’ de Trickbot que encontramos são muitos. Eles são malware as a service e existem muitos grupos trabalhando neles”. Há muitos buils por causa disso, mas Assolini acha muito difícil quantificá-los: “Existe entre eles o conceito inclusive de ‘build exclusivo’. Como eles trabalham como malware as a service, eles têm lá os ‘pacotes’ para serem vendidos. Quem quiser gastar menos compra um builder que não é exclusivo, que já foi vendido para vários grupos, e o malware que ele vai gerar já tem um alto índice de detecção pelos produtos de segurança, portanto uma efetividade menor. Quem quiser um produto melhor vai pagar mais caro – são os builders exclusivos, vendidos somente para aquela pessoa, e em alguns casos são oferecidas melhoras e um suporte, por algum tempo”.

Os builders exclusivos são mais caros porque dão mais trabalho aos desenvolvedores, explica Assolini: “Alguns são FUD, o que significa ‘fully undetectable’, eles gatantem que o malware que o builder irá gerar não será detectado pelas soluções de segurança”. Os builders exclusivos raramente são encontrados online, observa o analista: eles são encontrados geralmente nas máquinas em poder de grupos descobertos pela polícia.

O que é o TrickBot – O TrickBot é um trojan financeiro descoberto pela primeira vez em 2016 e inicialmente esteve focado em clientes dos principais bancos do Reino Unido, EUA, Austrália e alguns outros países do hemisfério norte. Ele é conhecido por sua elevada capacidade de imitar as telas de aplicativos bancários e roubar informações pessoais, como logins e senhas. Para isso ele utiliza a ferramenta de pós-exploração Mimikatz, mas atualmente usa muitas outras ferramentas. Ele também é capaz de roubar informações de carteiras Bitcoin, obtendo acesso a contas de e-mail e roubando dados de rede ou sistema para mover-se lateralmente. Depois disso, ele consegue fazer o sistema comprometido enviar e-mails. Em junho de 2021 o Trickbot completou dois meses na liderança do índice global de ameaças da Check Point Research.

Compartilhar: