A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, descobriu o trojan bancário Trickbot infectou mais de 140 mil máquinas de clientes da Amazon, Microsoft, Google e outras 57 corporações em todo o mundo, desde novembro de 2020. Segundo os pesquisadores, os autores do Trickbot estão buscando seletivamente alvos de alto perfil para roubar e comprometer seus dados confidenciais.
CONTEÚDO RELACIONADO – Malwares que mais impactaram no Brasil e no mundo no final de 2021
Outro ponto é que a infraestrutura do Trickbot pode ser utilizada por várias famílias de malware para causar mais danos em máquinas infectadas. Os pesquisadores da CPR orientam aos usuários que abram apenas documentos de fontes confiáveis, pois os autores do Trickbot estão aproveitando as técnicas evasivas (como antianálise e contra desobstrução que dificulta a leitura de um código) para persistirem nas máquinas.
Para a CPR, os números do Trickbot são surpreendentes. A tabela a seguir mostra a porcentagem de organizações afetadas pelo Trickbot em cada região:
| Região | Organizações afetadas | Porcentagem |
| Global | 1 em cada 451 | 2,2% |
| APAC | 1 em cada 30 | 3,3% |
| América Latina | 1 em cada 47 | 2,1% |
| Europa | 1 em cada 54 | 1,9% |
| África | 1 em cada 57 | 1,8% |
| América do Norte | 1 em cada 69 | 1,4% |
A lista das empresas atacadas também não é pequena:
| Companhia | Área |
| Amazon | E-commerce |
| AmericanExpress | Serviços de Cartão de Crédito |
| AmeriTrade | Serviços Financeiros |
| AOL | Provedor de Serviços Online |
| Associated Banc-Corp | Holding Bancária |
| BancorpSouth | Banco |
| Bank of Montreal | Banco de Investimentos |
| Barclays Bank Delaware | Banco |
| Blockchain﹒com | Serviços Financeiros de Criptomoedas |
| Canadian Imperial Bank of Commerce | Serviços Financeiros |
| Capital One | Holding Bancária |
| Card Center Direct | Banco Digital |
| Centennial Bank | Holding Bancária |
| Chase | Banco para Consumidores |
| Citi | Serviços Financeiros |
| Citibank | Banco Digital |
| Citizens Financial Group | Banco |
| Coamerica | Serviços Financeiros |
| Columbia Bank | Banco |
| Desjardins Group | Serviços Financeiros |
| E-Trade | Serviços Financeiros |
| Fidelity | Serviços Financeiros |
| Fifth Third | Banco |
| FundsXpress | Gerenciamento de serviços de TI |
| Tecnologia | |
| GoToMyCard | Serviços Financeiros |
| HawaiiUSA Federal Credit Union | Cooperativa de Crédito |
| Huntington Bancshares | Holding Bancária |
| Huntington Bank | Holding Bancária |
| Interactive Brokers | Serviços Financeiros |
| JPMorgan Chase | Banco de Investimentos |
| KeyBank | Banco |
| LexisNexis | Data mining (Mineração de dados) |
| M&T Bank | Banco |
| Microsoft | Tecnologia |
| Navy Federal | Cooperativa de Crédito |
| Paypal | Tecnologia Financeira |
| PNC Bank | Banco |
| RBC Bank | Banco |
| Robinhood | Stock Trading (Negociação de Ações) |
| Royal Bank of Canada | Serviços Financeiros |
| Schwab | Serviços Financeiros |
| Scotiabank Canada | Banco |
| SunTrust Bank | Holding Bancária |
| Synchrony | Serviços Financeiros |
| Synovus | Serviços Financeiros |
| T. Rowe Price | Gestão de Investimentos |
| TD Bank | Banco |
| TD Commercial Banking | Serviços Financeiros |
| TIAA | Seguro |
| Truist Financial | Holding Bancária |
| U.S. Bancorp | Holding Bancária |
| UnionBank | Banco Comercial |
| USAA | Serviços Financeiros |
| Vanguard | Gestão de Investimentos |
| Wells Fargo | Banco |
| Yahoo | Tecnologia |
| ZoomInfo | Software as a service |
Principais detalhes de implementação do Trickbot
A Check Point traz algumas características do malware bancário:
- O malware é muito seletivo na escolha de seus alvos.
- Vários truques (como antianálise e contra desobstrução) implementados dentro dos módulos mostram a formação altamente técnica dos autores.
- A infraestrutura de Trickbots pode ser utilizada por várias famílias de malware para causar mais danos em máquinas infectadas.
- Malware sofisticado e versátil com mais de 20 módulos que podem ser baixados e executados sob demanda.
Já a rotina de infeção do Trickbot é:
- Os atacantes recebem um banco de dados de e-mails roubados e enviam documentos maliciosos para os endereços escolhidos.
- O usuário baixa e abre tal documento, permitindo a execução de macro no processo.
- O primeiro estágio do malware é executado e a carga útil (payload) principal do Trickbot é baixada.
- O payload principal do Trickbot é executado e estabelece sua persistência na máquina infectada.
- Os módulos auxiliares do Trickbot podem ser carregados na máquina infectada sob demanda pelos atacantes, e a funcionalidade desses módulos pode variar: é possível estar se disseminando pela rede corporativa comprometida, roubando credenciais corporativas e detalhes de login para sites bancários, entre outras ações.
Principais orientações de segurança da Check Point:
- Abrir apenas documentos recebidos de fontes confiáveis. Não habilitar a execução de macros dentro dos documentos.
- Certificar-se de ter o sistema operacional e as atualizações de antivírus mais recentes em execução.
- Usar senhas diferenciadas em sites diferentes.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.
