O TrickBot é um dos principais malwares modulares direcionados principalmente ao harvesting de informações financeiras das vítimas e também tem a capacidade de deixar uma backdoor ativa na máquina comprometida para dar inicio a uma nova fase de exploração, geralmente manual, ou automatizada com o download de um stage seguinte.
O malware foi detetado pela primeira vez em 2016 e foi distribuído principalmente por meio de campanhas de malspam, evoluindo de um pequeno trojan banker para um Access-as-a-Service.
Investigadores da Unit 42 observaram uma nova campanha que foi entregue via phishing, com o assunto dos emails relativos a pagamentos ou bónus salariais.
A campanha inclui links incorporados do Google Docs, que contém links para descarregaro ficheiro malicioso do próprio Google drive. Os emails foram entregues através do serviço de mailing SendGrid.
Os emails maliciosos tinham como origem o TLD .edu.
According to Unit 42 research, “the email appeared to be originated from individuals at .edu email addresses and then attackers used SendGrid’s EDS to distribute the malware.”
O email contém texto e links atraentes. Quando a vítima clica no link, ele é redirecionado para o documento do Google Doc que contém o link do ficheiro malicioso hospedado na drive do Google.
Quando o documento Word é executado no computador da vítima são descarregados dois downloaders do Google Drive. Ambos os downloaders estão assinados por um certificado digital.
Ao abrir o documento, ele mostra um pop-up falso que solicita que os utilizadores usem o Microsoft word 2019 e dá a opção para fechar ou clicar em ok. Independentemente da resposta do utilizador, o pop-up é fechado e os downloaders continuam o download do payload do Trickbot.
As versões recentes do Trickbot incluem um componente de spam chamado TrickBooster que envia emails de spam do computador infectado pelo Trickbot. Também é capaz de alavancar a vulnerabilidade SMB (Server Message Block) para propagar para outros sistemas na mesma rede.
Esta campanha usa serviços legítimos como o SendGrid e GSuite para ofuscar atividades maliciosas.
Aos utilizadores pode-se alguma cautela quando confrontados com situações desta natureza. Se desconfiarem, não executem e reportem o problema.
Pode reportar este tipo de situações para a equipa do SI-LAB através deste formulário.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.