Malware TrickBot

O que é o TrickBot?

Como um malware que emprega quase todos os truques de hacking existentes, o TrickBot faz jus ao seu nome e é uma das principais ameaças, de acordo com a Cybersecurity Infrastructure and Security Agency (CISA). O TrickBot surgiu em 2016 como um sofisticado cavalo de Troia bancário escrito em C++ voltado para sistemas baseados no Windows. Seu surgimento foi atribuído a um grupo infame de agentes do crime cibernético russo conhecido como WizardSpider, com supostos vínculos com o governo russo.

O TrickBot evoluiu para uma arquitetura de malware modular capaz de ataques que o colocam em várias categorias, incluindo trojan de acesso inicial, stealer/spyware, trojan de acesso remoto (RAT) e ransomware. O TrickBot inclui um conjunto robusto de recursos pós-infecção de segundo estágio para penetração de rede que permite que ele se mova lateralmente de forma furtiva até mesmo em redes corporativas bem protegidas.

Devido ao seu extenso arsenal de recursos, o TrickBot funciona como uma arma semelhante a um canivete suíço em ataques cibernéticos contra grandes corporações, agências governamentais e instalações de saúde; é o malware de comando e controle (C2) preferido para implantar o ransomware Ryuk e Conti. No entanto, o TrickBot também tem sido usado para comprometer os roteadores domésticos de consumidores comuns, permitindo que grupos de agentes de ameaças criem botnets globais. Os recursos diversos e sofisticados da TrickBot são incomparáveis com qualquer outro malware.

Últimas notícias do TrickBot

Como o TrickBot funciona

A TrickBot normalmente é entregue por meio de um malware de download de primeiro estágio que emprega táticas de engenharia social, como spear-phishing e drive-by-downloads - seduzindo as vítimas com cópias piratas de softwares populares - para obter acesso inicial a um sistema. O malware de primeiro estágio do TrickBot geralmente executa um arquivo JavaScript altamente ofuscado que completa a infecção conectando-se a um servidor C2 controlado pelo atacante, baixando a carga útil primária do TrickBot e executando-a. 

O TrickBot pode infectar navegadores da Internet para monitorar passivamente a atividade do usuário e roubar cookies de sessão, nomes de usuário e senhas, além do histórico de navegação. O TrickBot também tem ferramentas integradas para enumeração de rede e descoberta de host, escalonamento de privilégios, força bruta de autenticação, reconhecimento man-in-the-middle, proxy, adulteração de dados, movimento lateral, persistência e implantação de ransomware. Durante suas operações, o TrickBot troca estrategicamente de servidores C2 e mantém um cache de endereços IP C2 ativos para o caso de um deles ser retirado do ar ou entrar na lista de bloqueio. 

As táticas furtivas do TrickBot incluem o uso de conexões HTTP criptografadas via SSL/TLS para mascarar sua atividade C2 como tráfego regular da Web e empregar técnicas de malware sem arquivo, operando apenas na memória (memexec) para evitar ser descoberto por produtos de segurança. Para evitar que os pesquisadores de segurança analisem facilmente seu código-fonte, o TrickBot usa ofuscação baseada em criptografia de vários estágios.

Sinais de um ataque do TrickBot

Os usuários finais não perceberão nenhum sinal óbvio de uma infecção pelo TrickBot, a menos que ele já tenha implantado o ransomware para tornar os arquivos ilegíveis. No entanto, o monitoramento da atividade da rede revelará solicitações de saída para IPs e domínios incluídos em listas de bloqueio, à medida que a TrickBot tenta se conectar aos seus servidores C2 ou redirecionar os usuários da Internet para sites mal-intencionados. 

Como as técnicas do TrickBot são avançadas e estão em constante evolução, a maneira mais confiável de detectar um ataque é instalar e configurar corretamente ferramentas de segurança avançadas, como produtos de Detecção e Resposta de Endpoint (EDR), Detecção e Resposta Estendida (XDR) e Detecção e Prevenção de Intrusão de Rede (NIDS/NIPS)

Como evitar um ataque do TrickBot

A prevenção eficaz de um ataque cibernético do TrickBot exige um programa completo de segurança cibernética empresarial, incluindo um escopo completo de políticas, controles, procedimentos e treinamento de conscientização do usuário para cobrir todos os aspectos da segurança cibernética de uma organização. Abaixo está uma pequena lista de medidas defensivas que podem reduzir as chances de um comprometimento do TrickBot. 

  • Implementar ferramentas modernas de gerenciamento de identidade e acesso (IAM)
  • Instalar e configurar produtos avançados de segurança de endpoint em todos os endpoints para detectar indicadores de comprometimento (IOCs) e tomar medidas defensivas para impedir a execução de cargas úteis do TrickBot
  • Garanta que somente software autorizado e assinado digitalmente seja instalado em todos os endpoints; faça varreduras regulares para detectar e bloquear a execução de qualquer software não autorizado.
  • Realize varreduras regulares de vulnerabilidade e testes de penetração em toda a infraestrutura de rede; corrija as vulnerabilidades descobertas o mais rápido possível.
  • Use um proxy de conteúdo para monitorar o uso da Internet e restringir o acesso dos usuários a sites suspeitos ou de risco
  • Imponha a autenticação multifator para todos os serviços essenciais
  • Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
  • Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização
  • Certifique-se de que os aplicativos do Office estejam configurados com Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente assinadas digitalmente
  • Preste atenção especial às notificações de aviso em clientes de e-mail e aplicativos do Office que podem alertá-lo sobre contextos suspeitos, como arquivos que não foram verificados quanto a malware ou que contêm macros VBA

CylanceGUARD para proteção contra malware

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece o conhecimento e o suporte de que as empresas precisam para prevenir e proteger contra ataques de ransomware. CylanceGUARD combina o conhecimento abrangente incorporado pelo BlackBerry Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT®autenticação e análise contínuas por meio de CylancePERSONAe detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS®. Em resumo, o site CylanceGUARD fornece aos negócios as pessoas e a tecnologia necessárias para proteger a empresa contra o cenário moderno de ameaças.
SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos