Há cinco anos, foi encontrado pela primeira vez um Trojan chamado Trickbot. Ele foi encontrado principalmente em computadores domésticos, sua principal tarefa era roubar credenciais de login para serviços bancários online.

No entanto, nos últimos anos seus criadores transformaram o trojan bancário em uma ferramenta modular multifuncional.

Houve relatos, que os criadores do Trickbot se juntaram a vários novos parceiros para usar o malware para infectar a infraestrutura corporativa com todos os tipos de ameaças adicionais, como o ransomware Conti.

O Trickbot agora é popular entre os grupos cibercriminosos como um veículo de entrega para injetar malware de terceiros na infraestrutura corporativa.

Aqui está o que o malware pode fazer agora:

- Coletar nomes de usuário, senhas e outras informações úteis para movimentação lateral na rede do Active

- Directory e do registro;

Interceptar o tráfego da web no computador infectado;

- Fornecer controle remoto de dispositivo por meio do protocolo VNC;

Roubar cookies de navegadores;

- Extrair credenciais de login do registro, bancos de dados de vários aplicativos e arquivos de configuração, além de roubar chaves privadas, certificados SSL e arquivos de dados para carteiras de criptomoedas;

- Interceptar dados de preenchimento automático de navegadores e informações que os usuários inserem em formulários em sites;

- Digitalizar arquivos em servidores FTP e SFTP;

- Incorporar scripts maliciosos em páginas da web;

- Redirecionar o tráfego do navegador por meio de um proxy local;

- Sequestrar APIs responsáveis ​​pela verificação da cadeia de certificados para falsificar os resultados da verificação;

- Coletar credenciais de perfil do Outlook, interceptar e-mails no Outlook e enviar spam por meio dele;

- Procurar o serviço OWA e hackeá-lo por força bruta;

Obter acesso ao hardware; Fornece acesso ao computador no nível do hardware;

- Escanear domínios em busca de vulnerabilidades;

- Encontrar endereços de servidores SQL e executar consultas de pesquisa neles;

- Se espalhar pelos exploits EternalRomance e EternalBlue;

- Criar conexões VPN.

Algumas soluções de segurança ainda reconhecem o Trickbot como um Trojan bancário, de acordo com sua especialidade original. Portanto, os funcionários da infosec que o detectarem podem vê-lo como uma ameaça aleatória de usuário doméstico que acidentalmente entrou na rede corporativa. Na verdade, sua presença ali pode indicar algo muito mais sério – uma tentativa de injeção de ransomware ou mesmo parte de uma operação de ciberespionagem direcionada.

Para evitar que sua empresa seja vítima desse Trojan, recomendamos que você equipe todos os dispositivos com conexão de Internet com uma solução de segurança de alta qualidade. Além disso, é uma boa ideia usar os serviços de monitoramento de ameaças cibernéticas para detectar atividades suspeitas na infraestrutura da empresa.

Fonte