Os investigadores da ESET participaram numa operação global para desfazer a botnet Trickbot, que desde 2016 já infetou mais de um milhão de dispositivos computacionais. Com a participação de parceiros que incluem a Microsoft, a Black Lotus Labs Threat Research da Lumen, a NTT e outros, a operação atingiu a Trickbot deitando abaixo os seus servidores de comando e controlo. A ESET contribuiu para o esforço com análise técnica, informação estatística e nomes de domínio e IPs de servidores de comando e controlo. A Trickbot é conhecida por roubar credenciais de computadores comprometidos e, mais recentemente, por servir de mecanismo de distribuição para ataques mais graves como .Os investigadores da ESET têm monitorizado as atividades da Trickbot desde a sua primeira deteção em 2016. Só em 2020, a plataforma de monitorização de botnets da ESET analisou mais de 125.000 amostras maliciosas e descarregou e desencriptou mais de 40.000 ficheiros de configuração usados pelos diferentes módulos da Trickbot, obtendo uma excelente panorâmica dos diferentes servidores C&C desta botnet.
“Ao longo dos anos em que a temos monitorizado, foram reportados dispositivos comprometidos pela Trickbot a um a um ritmo constante, tornando-a uma das maiores e mais duradouras botnets existentes. A Trickbot é uma das famílias de malware bancário mais prevalentes, e esta linha de malware representa uma ameaça para utilizadores da Internet em todo o mundo,” explica Jean-Ian Boutin, Head of Threat Research na ESET.
Durante a sua existência, este malware foi distribuído de várias maneiras diferentes. Recentemente, um comportamento que temos observado com frequência é a Trickbot ser executada em sistemas já comprometidos pela Emotet, outra grande botnet. No passado, o malware Trickbot era usado pelos seus operadores normalmente como trojan bancário, roubando credenciais de contas bancárias online e tentando efetuar transferências fraudulentas.
Um dos plugins mais antigos desenvolvidos para a plataforma permite à Trickbot usar injeções web, uma técnica que possibilita ao malware alterar dinamicamente o que o utilizador de um sistema comprometido vê ao visitar websites específicos. “Através da nossa monitorização de campanhas Trickbot, recolhemos milhares de ficheiros de configuração diferentes, o que nos permitiu saber que websites foram visados por operadores da Trickbot. A maior parte dos URLs-alvo pertencem a instituições financeiras,” acrescentou Boutin.
“Tentar desfazer esta ameaça elusiva é muito desafiante, uma vez que possui diversos mecanismos de reserva, e a sua interligação com outros atores cibercriminosos ativos na clandestinidade torna a operação global extremamente complexa.” conclui Boutin.
Para mais informações técnicas sobre a Trickbot, leia o artigo completo (em inglês) aqui.