Trojan bancário Trickbot propaga-se pela botnet Necurs

Paulo Brito
13/06/2017

Desde a semana passada, o Forcepoint Security Labs™ vem observando uma significativa campanha de e-mails maliciosos do Necurs botnet. O Necurs é um botnet eficaz conhecido por espalhar ransomwares Locky, tentativas de ações do tipo pump-and-dump e, mais recentemente, o ransomware Jaff.Desta vez, no entanto, o Necurs foi observado espalhando o trojan bancário Trickbot pela primeira vez. Na campanha de e-mails maliciosos, aproximadamente 9,6 milhões de e-mails relacionados foram capturados e interrompidos pelo nosso sistema. A seguir, há uma captura de tela que mostra um e-mail relacionado:

 

https://blogs.forcepoint.com/sites/default/files/u1096/trick_1_2.png

Além disso, abaixo estão os detalhes desta campanha:

SUBJECT

ATTACHMENT

ACTIVITY PERIOD (BST)

{two digits}_Invoice_{four digits}

{three digits}_{four digits}.pdf

09:00 – 15:00

{eight digits}.pdf

{eight digits}.pdf

11:00 – 13:00

{blank subject}

SCAN_{four digits}.doc

13:00 – 18:00

 

Nos dois primeiros assuntos do e-mail acima, a cadeia de infecção é idêntica à que foi documentada para o Jaff – um arquivo PDF em anexo contém um arquivo de documento com um macro downloader que, por sua vez, faz downloads de Trickbot trojan.

Por outro lado, os e-mails com o campo de assunto em branco tinham um arquivo de documento com um macro downloader em vez de um PDF.

Trickbot continua a expandir seus alvos

O Trickbot é uma família de malware relativamente nova, e acredita-se que ela seja a sucessora da terrível família Dyre. Ele surgiu em setembro do ano passado, inicialmente visando bancos na Austrália e no Reino Unido. Desde então, expandiu continuamente seus alvos para outros países e bancos.

A nova campanha tinha uma identificação de grupo "mac1". Ela fazia o download dos arquivos de configuração que continham uma lista atualizada de instituições financeiras direcionadas. Das 51 URLs direcionadas listadas no arquivo de configuração "dinj" apenas no mês de abril, o arquivo de configuração agora contém 130 URLs direcionadas. Dentre essas atualizações, há 16 bancos franceses direcionados que foram adicionados ao arquivo de configuração. Abaixo, há uma captura de tela do arquivo de configuração descriptografado mostrando essa atualização:

https://blogs.forcepoint.com/sites/default/files/u1096/trick_1.png

Além disso, agora o arquivo de configuração também lista algumas URLs do PayPal:

https://blogs.forcepoint.com/sites/default/files/u1096/trick_2.png

 

Outro arquivo de configuração ("sinj") também foi expandido de maneira semelhante: onde ele listava anteriormente 109 URLs direcionadas, as listas atualizadas trouxeram 333 URLs. Agora, esta configuração inclui websites de trinta e quatro instituições financeiras na Suécia, Noruega, Finlândia e Dinamarca.

Declaração de proteção

Os clientes Forcepoint™ estão protegidos contra esta ameaça pela Forcepoint Cloud Security, que inclui o Advanced Classification Engine (ACE) como parte de e-mail, Web e produtos de segurança NGFW. O ACE (também conhecido como Triton ACE) oferece análises sem assinatura para identificar intenções maliciosas, incluindo técnicas de evasão para mascarar o malware.

A proteção está presente nos seguintes estágios do ataque:

Estágio 2 (Lure) – E-mails maliciosos associados a este ataque são identificados e bloqueados.

Estágio 5 (Dropper File) – As variantes do Trickbot não podem ser baixadas.

Estágio 6 (Call Home) – Tentativas do Trickbot de entrar em contato com seu servidor C&C são bloqueadas.

Conclusão

O uso do Necurs botnet pelo Trickbot para se espalhar, combinado com a expansão dos seus países e instituições financeiras alvo, é uma clara tentativa de intensificar suas operações globais. Campanhas de e-mails maliciosos como esta dependem da fraqueza do ponto humano de interação com os sistemas, com a carga final neste caso, gerando provavelmente ramificações severas para seus alvos.

Compartilhar: