O grupo por trás do conhecido malware TrickBot está de volta após uma pausa excepcionalmente longa entre suas campanhas de ataque. Mas, de acordo com pesquisadores de segurança, agora a gangue opera com atividade reduzida.
A suspeita é de que a pausa se deve ao fato de o grupo ter mobilizado uma significativa mudança operacional, focada em explorar malwares de parceiros, como o do grupo Emotet. Com isso, ficaria mais fácil escalar os ataques.
Confira a seguir mais detalhes da descoberta:
TrickBot está de volta: o que isso significa?
Um relatório publicado pela Intel 471 em fevereiro deste ano sinalizou um período “estranho” de relativa inatividade da gangue. De acordo com eles, “de 28 de dezembro de 2021 a 17 de fevereiro de 2022, os pesquisadores da Intel 471 não observaram novas campanhas do TrickBot”.
Antes da calma, um incidente, que ocorreu em novembro de 2021, indicava que o botnet do TrickBot havia sido usado para distribuir o malware Emotet – indicando que a colaboração com o grupo por trás do Emotet estaria em andamento. O relatório da Intel 471 também associa o TrickBot a um terceiro grupo – os operadores da família de malware Bazar – cujos controladores “enviaram comandos para baixar e executar o TrickBot (em meados de 2021) e o Emotet (em novembro de 2021)”.
De modo geral, os pesquisadores especulam que, desta vez, “é provável que os membros do grupo tenham eliminado o malware TrickBot de suas operações, explorando outras plataformas, como o Emotet”.
A “turbulenta” história do malware TrickBot
O TrickBot foi originalmente criado como um trojan bancário, em 2016. De lá para cá, porém, ele evoluiu para um ecossistema completo de malware, recheado de recursos para espionagem e roubo de dados, verificação de vulnerabilidades para invasão de rede, antidepuração – que serve para travar os navegadores dos pesquisadores antes de que eles tenham a chance de identificar sua presença – e identificando e contornando firmwares, dentre outras operações.
Por conta disso, o TrickBot recebeu uma atenção especial das autoridades nos últimos anos. Em 2020, a Microsoft obteve uma ordem judicial dos EUA que permitia apreender servidores do grupo por trás do malware. No ano passado, vários membros desse grupo foram presos e acusados, podendo passar anos na prisão.
Apesar desses esforços, o TrickBot permaneceu ativo.
Isto é, até o final de dezembro de 2021, quando novos ataques foram interrompidos e instaurou-se um período curioso de “silêncio” por parte do grupo.
De acordo com o relatório, a campanha mais recente do Trickbot “aconteceu em 28 de dezembro de 2021. Essa foi uma das três campanhas de malware ativas durante o mês. Apenas para fins de comparação, oito [campanhas] diferentes foram descobertas em novembro de 2021.”
“Embora tenha havido inatividade de tempos em tempos”, observou o relatório, “uma pausa tão longa pode ser considerada incomum”.
Além disso, os arquivos de configuração de malware integrados do TrickBot, que contêm uma lista de endereços de controladores aos quais o bot pode se conectar, “não foram acessados por longos períodos”, disseram os pesquisadores.
Surpreendentemente, esses arquivos já foram atualizados com certa frequência, mas estão recebendo cada vez menos atualizações, disseram os pesquisadores. Por outro lado, a infraestrutura de comando e controle (C2) associada ao TrickBot permanece ativa, com atualizações para “plugins adicionais, injeções da web e configurações adicionais para bots na botnet”.
Os pesquisadores agora concluíram que “essa pausa se deve parcialmente a uma grande mudança dos operadores do TrickBot”.
Uma aliança antiga
Como observado, a colaboração com o Emotet (e o Bazar) não é nova. Mas os pesquisadores disseram à imprensa que a natureza da parceria pode estar evoluindo.
“É difícil dizer o que poderia resultar da colaboração”, escreveu Hank Schless, gerente sênior de soluções de segurança da Lookout, ao Threatpost. “Sabemos que o Emotet recentemente começou a testar como o malware poderia instalar excertos de Cobalt Strike em dispositivos previamente infectados, então talvez eles possam combinar a funcionalidade com o TrickBot.”
Cobalt Strike é uma ferramenta de teste de penetração usada tanto por analistas cibernéticos quanto por invasores. Tendo sucesso no teste, fica ainda mais fácil escalar os ataques.
“Cibercriminosos estão compartilhando seus malwares em fóruns da Dark Web e outras plataformas, o que ajuda toda a comunidade do cibercrime a evoluir suas táticas”, comenta Schless.
Às vezes, as gangues de crimes cibernéticos nutrem parcerias ou relacionamentos comerciais muito parecidos com o que acontece nos negócios convencionais. E, neste caso, parece que a equipe por trás do TrickBot decidiu que era mais fácil “comprar” do que “construir” seu malware, se aproveitando do desenvolvimento de outras gangues.
Alguns acham que o malware original do grupo pode, inclusive, sair de cena.
Afinal, o TrickBot agora tem cinco anos – uma vida inteira em termos de segurança cibernética. “Talvez”, escreveram os pesquisadores da Intel 471, “uma combinação de atenção indesejada ao e a disponibilidade de recursos de malware mais novos e aprimorados tenha convencido os operadores do TrickBot a abandoná-lo de vez”.
Quer proteger sua empresa dos riscos de malware? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
