Trojan TrickBot se preparando para roubar chaves OpenSSH e OpenVPN

O Trojan bancário Trickbot continua evoluindo, de acordo com pesquisadores que descobriram esta semana um módulo de captura de senha atualizado que poderia ser usado para roubar chaves privadas do OpenSSH e senhas e arquivos de configuração do OpenVPN.

O TrickBot (também conhecido como Trickster, TrickLoader e TheTrick) é um malware modular e constantemente atualizado, atualizado continuamente com novos recursos e módulos desde outubro de 2016, quando foi detectado inicialmente na natureza.

Embora as primeiras variantes detectadas venham apenas com os recursos bancários de Trojan usados ​​para coletar e filtrar dados confidenciais para seus mestres, o TrickBot agora também é um popular conta-gotas de malware observado ao infectar sistemas com outras cepas de malware, às vezes mais perigosas.

Aplicativos OpenSSH e OpenVPN recentemente direcionados

O módulo de captura de senha recém-atualizado do Trickbot, que agora visa os aplicativos OpenSSH e OpenVPN, foi descoberto por pesquisadores da Unidade 42 da Palo Alto Networks em um dispositivo Windows 7 de 64 bits comprometido em 8 de novembro.

O módulo pwgrab64 password grabber que eles encontraram não é uma novidade, pois foi descoberto por pesquisadores em novembro de 2018 ao analisar uma variante capaz de saquear senhas de vários navegadores e aplicativos como Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge, Microsoft Outlook, Filezilla e WinSCP.

Em fevereiro, esse módulo ladrão de senhas foi atualizado para obter credenciais utilizadas para autenticação em servidores remotos usando VNC, PuTTY e RDP (Remote Desktop Protocol).

Os pesquisadores da Unidade 42 agora descobriram que o Trickbot agora está usando solicitações HTTP POST para enviar chaves privadas OpenSSH e senhas OpenVPN e arquivos de configuração para seus servidores de comando e controle (C2).

No entanto, como eles descobriram mais tarde, após examinar mais de perto o tráfego C2 do malware nos hosts infectados do Windows 7 e Windows 10, o Trojan ainda não exfiltra dados, sugerindo que seus criadores estão apenas testando esse novo recurso adicionado.

Conforme eles determinaram ainda mais, essa nova variante do Trickbot ainda é tão perigosa quanto nunca, pois ainda pode pegar chaves privadas de aplicativos relacionados ao SSH, como o PuTTY, e entregá-las aos seus operadores.

“Esses padrões de tráfego atualizados demonstram que o Trickbot continua a evoluir. No entanto, as práticas recomendadas de segurança, como a execução de versões totalmente corrigidas e atualizadas do Microsoft Windows, impedirão ou interromperão as infecções pelo Trickbot”, concluiu a equipe de pesquisa da Unidade 42 .

Trojan bancário atualizado regularmente

O TrickBot também é um dos malwares mais agressivos da atualidade, depois de substituir o Emotet como a variedade mais distribuída via mal-spam até que o último foi revivido em agosto.

Em agosto, as operadoras da Trickbot atacaram os usuários da Verizon Wireless, T-Mobile e Sprint que  tentavam roubar seus códigos PIN por meio de objetos dinâmicos da web e também usaram o processador de texto on-line do Google Docs para infectar vítimas inocentes usando executáveis ​​camuflados como documentos PDF .

O TrickBot também foi atualizado com os recursos de contornar o Windows Defender, foi atualizado com um novo módulo proxy IcedID para roubar informações bancárias e seus criadores introduziram um novo módulo para roubar cookies do navegador durante julho.

Em janeiro, os pesquisadores da FireEye e da CrowdStrike descobriram que o TrickBot ingressou no negócio de Acesso como Serviço, permitindo que outros atores tivessem acesso às redes que haviam infectado anteriormente, fornecendo-lhes shells reversos para se infiltrar no restante da rede. Cargas úteis.

Ainda mais atrás, em julho de 2017, o Trickbot tornou-se capaz de se auto propagar por meio de um componente de auto-propagação que melhorou sua capacidade de se espalhar rapidamente por redes inteiras.

Deixe seu comentário abaixo para sabermos qual é sua opinião em relação a esse trojan. Também visite-nos em: https://www.deltaservers.com.br/ para conhecer todas as soluções corporativas que temos disponível para seu negócio.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.