Fonte: IBM Security – 31 de agosto de 2018
A versão mais recente do Trojan financeiro TrickBot adiciona um novo truque: injeção de código invisível por meio de documentos do Microsoft Word habilitados para macro.
O malware TrickBot surgiu pela primeira vez em 2016. Como observado pela empresa de segurança Cyberbit, novas iterações “apareceram continuamente, cada vez atualizadas com novos truques e módulos.” A versão mais recente, que foi usada em ataques bancários na América do Norte e na Europa. no início de agosto, emprega injeções de código invisíveis usando documentos do Microsoft Word.
As vítimas recebem um email com um documento do Word anexado que contém código de macro. Para contornar a detecção, os usuários do TrickBot projetaram a macro para execução somente se os usuários clicassem em “ativar conteúdo” e, em seguida, redimensionassem o documento ao aumentar ou diminuir o zoom. De acordo com o Cyberbit, embora esse método provavelmente evite as sandboxes, ele também pode limitar os números de infecção, pois nem todo usuário tentará ampliar o documento. Uma vez iniciado, o malware “dorme” por 30 segundos – outra tentativa de evitar a detecção – e, em seguida, executa um script ofuscado do PowerShell para baixar e executar o TrickBot.
Truques do comércio
Enquanto o modo de injeção de macro é novo, as funções centrais do TrickBot permanecem inalteradas. Para organizações financeiras e usuários finais, a infecção leva a modificações no Windows Defender – o malware TrickBot desabilita o monitoramento em tempo real para reduzir a chance de detecção – juntamente com chamadas de função direta usando células do sistema. Esses processos melhoram a capacidade do malware de escapar dos serviços de segurança oferecidos pelo Windows e de ferramentas de monitoramento de terceiros.
Uma vez instalado e funcionando, o TrickBot busca dados do navegador e do Microsoft Outlook, reúne informações do sistema e da rede, rouba credenciais de domínio e pode impedir que as vítimas acessem seus computadores.
Como os usuários podem evitar o malware TrickBot?
Para combater o impacto de cavalos de Tróia em evolução, como o TrickBot, a IBM X-Force recomenda a atualização de todos os aplicativos e soluções antivírus para aumentar as chances de detecção. Além disso, os usuários devem sempre verificar, por meio de um canal separado, a legitimidade de quaisquer anexos de e-mail não solicitados antes que eles sejam abertos. Como mencionado acima, o malware TrickBot só funciona se os usuários habilitarem macros e ampliar ou reduzir o documento; se o documento nunca for aberto, nenhum compromisso ocorrerá.
Os especialistas da IBM também sugerem a implementação de práticas recomendadas de segurança de email para ajudar a limitar a disseminação de cavalos de Tróia e outros malwares. Isso inclui a realização de simulações de phishing regulares para descobrir o estado de conscientização de segurança do usuário e o uso de MSS (serviços gerenciados de segurança) para avaliar as medidas de segurança existentes e implantar soluções integradas, como detectores de spam, ferramentas antivírus e criptografia de email.
Fonte: Cyberbit
