O Trojan banker Trickbot está a passar por uma fase de modificações de código, e que estão envolvendo o Japão cada vez mais na sua mira. É esperada uma vaga de ataques à escala global nas próximas semanas.
De acordo com os dados do IBM X-Force, o TrickBot é atualmente o Trojan banker mais ativo mundialmente.
À medida que os seus alvos evoluíram ao longo dos anos, o Trickbot também mudou. A ameaça foi modificada em agosto 2019 para atingir agora utilizadores de dispositivos móveis, e este malware está na linha da frente em ataques contra empresas do setor da saúde.
No início deste ano, os operadores do TrickBot começaram a usar redirecionamento em vez de anexos de email maliciosos para espalhar o malware.
Esse redirecionamento pode ser p.ex., para imagens alojadas em websites.
2019-12-03 – Updated Paste for today’s #Trickbot EXE – Finally saw the URL generated by Trickbot’s tabDll module: hxxp://107.172.82[.]165/images/lastimg.png – Paste of info: https://t.co/CnGMHv0UXH – Pastebin raw: https://t.co/vyUJEZoBj7 pic.twitter.com/d5QFW6QovC pic.twitter.com/cAOp7wfCKh
— Brad (@malware_traffic) December 3, 2019
Ver os IOCs desta ameça aqui.
O TrickBot apareceu principalmente em campanhas maliciosas em países de língua ocidental e inglesa. Embora tenha sido detectado em outras regiões, esta fase marca a primeira vez que o TrickBot foi visto a operar contra bancos japoneses.
Investigadores da X-Force sugerem que os utilizadores do Japão tomem cuidado com o TrickBot, principalmente quando usam sites de comércio eletrónico e plataformas de criptomoedas.
A maioria das campanhas tem como objetivo transações bancárias voa homebanking (76%), comércio eletrónico (5%), cartões de pagamento (3%), uniões de crédito (3%) e trocas de Bitcoin (3%).
As campanhas direcionadas a entidades japonesas usam spam e distribuição maliciosa através da botnet Emotet de forma a droppar a seguinda fase, o TrickBot, nos dispositivos de destino. A maioria dos ataques usa injeções web em websites da banca, o que acaba resultando em fraude bancária.
Uma das táticas básicas do TrickBot, envolve enganar as vítimas a partilhar dados pessoais (PII), detalhes de cartões de crédito, PINs e detalhes de autorização de transação, explicam os investigadores.
TrickBot’s appearance in Japan is concerning in itself; however, researchers warn of TrickBot attacks potentially turning into Ryuk ransomware. “A kill chain that begins with Emotet and TrickBot infections has been known to result in Ryuk attacks, widespread ransomware infections that can paralyze organizations and extort them with demands of millions of dollars in ransom money,” X-Force’s Limor Kessem and Itzik Chimino wrote in a blog post on the news.
Em contraste, o ransomware Ryuk também se mostrou uma ameaça ativa em 2019. O ransomware é conhecido pela sua persistência ou pela quantidade de tempo entre a infecção inicial e os danos cometidos no sistema alvo.
Também é conhecido por alterar o valor do resgate, dependendo de quanto ela acha que a vítima pode pagar. Num alerta emitido pelo Centro Nacional de Segurança Cibersegurança do Reino Unido em julho, as autoridades explicaram que uma infecção inicial começa com o Emotet, seguida por uma infecção pelo TrickBot, que oferece recursos de ofuscação. Se um sistema de destino fornecer informações indicando que eles podem pagar resgate, o Ryuk será implantado pelos criminosos.
Kessem and Chimino advise businesses to keep strict control of operating system and application update schedules, as malware often seeks an unpatched systems. “Segregate and use compensating controls on assets that cannot be patched,” they note.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.