O ataque massivo do ransomware WannaCry está ainda gerando respingos no mundo da segurança digital. O malware que sequestra dados e exige resgate usou brechas e técnicas de propagação que podem estar fortalecendo um conhecido vírus bancário. Pesquisadores acreditam que o Trojan Trickbot está usando os novos conhecimentos inseridos no WannaCry para se espalhar.
Aparentemente, os cibercriminosos estão tirando lições do ataque massivo do ramsonware para aumentar o poder do Trickbot, com o objetivo de roubar mais dinheiro em menos tempo. Isso não chega a ser uma novidade. Hackers do mal têm constantemente melhorado suas ferramentas de ataque quando uma nova forma de invasão ou propagação é descoberta, ou quando uma brecha nova nos sistemas se mostra eficiente.
O próprio Trickbot é considerado o melhoramento de um trojan mais antigo e que, surpreendentemente, foi dado como morto há alguns anos. Sua ação está deixando bancos e empresas financeiras em alerta desde o ano passado. O Trojan geralmente se espalha por meio de anexos de e-mail que simulam faturas de uma grande “instituição financeira internacional”, porém sem nome especificado. No entanto, o link remete os desavisados para uma página de login falsa usada para roubar credenciais.
A nova versão do TrickBot banking Trojan, conhecida como “1000029” (v24), foi encontrada em uso de brechas no Windows Server Message Block (SMB) – essa foi a mesma maneira que permitiu que WannaCry e Petya se espalhassem pelo mundo rapidamente.
Na semana passada, pesquisadores do Flashpoint, que acompanharam continuamente as atividades do TrickBot e seus objetivos, descobriram que o trojan bancário evoluiu e adotou o uso do SMB, algo até então inédito. Pelo menos um grupo hacker está sendo investigado como sendo o autor da melhoria criminosa.
Os especialistas acreditam que é apenas um teste do poder do trojan, já que os novos recursos não foram implementados em todas as novas versões identificadas em ataques. O TrickBot também não estão usando a capacidade de verificação dos IPs externos para conexões SMB, algo que ajudou muito o WannaCry a ter um resultado devastador, explorando uma vulnerabilidade denominada EternalBlue.
Apesar disso, a preocupação é grande. O trojan modificado está explorando domínios para listas de servidores vulneráveis por meio da API do Windows NetServerEnum e identificando outros computadores na rede através do LDAP (Lightweight Directory Access Protocol).
A nova variante TrickBot também pode ser disfarçada como ‘setup.exe’ e entregue como um script PowerShell para se espalhar através da comunicação interprocesso e baixar a versão adicional do TrickBot em unidades compartilhadas.
“A Flashpoint avalia com confiança moderada que o Trickbot provavelmente continuará a ser uma força formidável no curto prazo”, aponta o comunicado da empresa. “É evidente que a gangue usando o Trickbot aprendeu com os surtos globais do Wannacry e ‘NotPetya’, e está tentando replicar sua metodologia”. (NotPetya é um termo usado por algumas empresas de segurança que detectaram que não era exatamente um ransomware Petya que atacou o mundo há algumas semanas).
Dicas de segurança
Para se proteger contra essa infecção é preciso sempre suspeitar de arquivos e documentos indesejados enviados por e-mail. Nunca clicar em links dentro deles que remetam a endereços estranhos e que contenham nomes de empresas conhecidas no meio de outros caracteres como disfarce. Mantenha também cópias (backup) de dados importantes, assim como atualizações indicadas por fabricantes de software.
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br
–