Operação global desabilita servidores de Trickbot, botnet que afetou mais de 1 mi de dispositivos
Uma operação coordenada entre a ESET, a Microsoft, o centro de pesquisa Black Lotus Labs da Lumen e a NTT, entre outros integrantes, conseguiu desabilitar os servidores de comando e controle do Trickbot. Trata-se de uma botnet conhecida por roubar credenciais em computadores comprometidos. No entanto, nos últimos tempos, também realizou ataques mais prejudiciais, como os realizados por ransomware.
A ESET participou da análise técnica, fornecendo informações estatísticas e IPs conhecidos e nomes de domínio dos servidores de comando e controle. A empresa, que tem rastreado as atividades do botnet desde sua detecção, no final de 2016, analisou mais de 125 mil amostras maliciosas apenas em 2020. Durante estes quatro anos, observou-se que o Trickbot compromete dispositivos de forma estável, tornando-o um dos botnets de vida mais longa, explica a empresa.
Em seus anos de operação, a ameaça foi distribuída de diferentes maneiras. Por exemplo, o Trickbot foi recentemente visto sendo baixado para sistemas comprometidos pelo Emotet, outra botnet. No passado, ele era usado principalmente como trojan bancário que roubava contas com o objetivo de fazer transferências fraudulentas.
Um dos plug-ins mais antigos desenvolvidos para a plataforma permitia que o Trickbot usasse ataques de injeção na web, uma técnica que permite que o malware faça alterações dinamicamente em páginas específicas que a vítima visita.
O que torna o Trickbot tão versátil é que suas funcionalidades podem ser amplamente expandidas com plug-ins. Ao longo do acompanhamento, a ESET coletou e analisou 28 plug-ins diferentes. Alguns pretendiam coletar senhas de navegadores, clientes de e-mail e uma variedade de aplicativos, enquanto outros eram capazes de modificar o tráfego de rede ou se autopropagar.
João Monteiro, IP News, 19 de outubro de 2020
Artigos relacionados
Tags
Compartilhe
