O Microsoft 365 Defender Threat Intelligence Team tomou medidas contra a botnet Trickbot, derrubando uma das operações de malware mais persistentes do mundo. Segundo comunicado da companhia, provedores de telecomunicações em todo o mundo foram utilizados para interromper a infraestrutura principal do Trickbot. Como resultado, os operadores não serão mais capazes de usar essa infraestrutura para distribuir o malware ou ativar cargas úteis implantadas como ransomware.
Aqui, a Microsoft detalhou a evolução do malware Trickbot, as táticas associadas, campanhas recentes e a anatomia de um ataque específico que foi observado. O Trickbot foi identificado pela primeira vez em 2016, como um cavalo de Troia (trojan) bancário que foi criado como um sucessor do Dyre e projetado para roubar credenciais de banco. "Ao longo dos anos, os operadores do Trickbot foram capazes de construir uma grande botnet, evoluindo para um malware modular disponível e um malware como serviço", diz a companhia.
Segundo a análise, a infraestrutura do Trickbot foi disponibilizada para cibercriminosos que usaram a botnet como um ponto de entrada para campanhas operadas por humanos, incluindo ataques que roubam credenciais, exfiltram dados e implantam cargas úteis adicionais, principalmente o ransomware Ryuk. "O Trickbot costumava ser entregue por meio de campanhas de e-mail que usavam eventos atuais ou iscas financeiras para estimular os usuários a abrirem anexos de arquivos maliciosos ou clicarem em links para sites que hospedam arquivos maliciosos", diz a Microsoft.
As campanhas do Trickbot geralmente usavam documentos do Excel ou Word com códigos de macro infectados, mas outros tipos de anexos foram usados. "As campanhas foram observadas em uma ampla gama de verticais e geolocalização, com operadores frequentemente reutilizando contas de e-mail previamente comprometidas de campanhas anteriores para distribuir e-mails sem reduzir os alvos", destaca.
A Microsoft faz uma análise, ainda, da anatomia de uma campanha específica do Trickbot, na qual os operadores usaram várias contas de e-mail comprometidas diferentes para enviar centenas de e-mails maliciosos para contas corporativas e pessoais. "Os destinatários não parecem ter sido especificamente segmentados", diz a companhia.
Em junho de 2020, a Microsoft rastreou várias campanhas do Trickbot, sendo que algumas aproveitaram os eventos atuais como iscas para atrair os usuários a clicar em anexos maliciosos, como Black Lives Matter e COVID-19. "A ação contra o Trickbot resultará em proteção para uma ampla gama de organizações, incluindo instituições de serviços financeiros, governo, saúde e outros setores verticais, contra malware e campanhas operadas por humanos entregues por meio da infraestrutura do Trickbot", diz a companhia.
Editado por Bruna Chieco
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.