ESET participa em operação global para desfazer Trickbot, uma botnet que já infetou mais de um milhão de computadores

Os investigadores da ESET participaram numa operação global para desfazer a botnet Trickbot, que desde 2016 já infetou mais de um milhão de dispositivos computacionais. Com a participação de parceiros que incluem a Microsoft, a Black Lotus Labs Threat Research da Lumen, a NTT e outros, a operação atingiu a Trickbot deitando abaixo os seus servidores de comando e controlo. A ESET contribuiu para o esforço com análise técnica, informação estatística e nomes de domínio e IPs de servidores de comando e controlo. A Trickbot é conhecida por roubar credenciais de computadores comprometidos e, mais recentemente, por servir de mecanismo de distribuição para ataques mais graves como ransomware.
​
Os investigadores da ESET têm monitorizado as atividades da Trickbot desde a sua primeira deteção em 2016. Só em 2020, a plataforma de monitorização de botnets da ESET analisou mais de 125.000 amostras maliciosas e descarregou e desencriptou mais de 40.000 ficheiros de configuração usados pelos diferentes módulos da Trickbot, obtendo uma excelente panorâmica dos diferentes servidores C&C desta botnet.

“Ao longo dos anos em que a temos monitorizado, foram reportados dispositivos comprometidos pela Trickbot a um a um ritmo constante, tornando-a uma das maiores e mais duradouras botnets existentes. A Trickbot é uma das famílias de malware bancário mais prevalentes, e esta linha de malware representa uma ameaça para utilizadores da Internet em todo o mundo,” explica Jean-Ian Boutin, Head of Threat Research na ESET.

Durante a sua existência, este malware foi distribuído de várias maneiras diferentes. Recentemente, um comportamento que temos observado com frequência é a Trickbot ser executada em sistemas já comprometidos pela Emotet, outra grande botnet. No passado, o malware Trickbot era usado pelos seus operadores normalmente como trojan bancário, roubando credenciais de contas bancárias online e tentando efetuar transferências fraudulentas.

Um dos plugins mais antigos desenvolvidos para a plataforma permite à Trickbot usar injeções web, uma técnica que possibilita ao malware alterar dinamicamente o que o utilizador de um sistema comprometido vê ao visitar websites específicos. “Através da nossa monitorização de campanhas Trickbot, recolhemos milhares de ficheiros de configuração diferentes, o que nos permitiu saber que websites foram visados por operadores da Trickbot. A maior parte dos URLs-alvo pertencem a instituições financeiras,” acrescentou Boutin.

“Tentar desfazer esta ameaça elusiva é muito desafiante, uma vez que possui diversos mecanismos de reserva, e a sua interligação com outros atores cibercriminosos ativos na clandestinidade torna a operação global extremamente complexa.” conclui Boutin.

Para mais informações técnicas sobre a Trickbot, leia o artigo completo (em inglês) aqui.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Trickbot