Área do Cliente
Central de vendas
malware

A Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation (FBI) observaram a continuação da segmentação por meio de campanhas de phishing usando malware TrickBot. Um grupo sofisticado de cibercriminosos está atraindo vítimas, por meio de e-mails de phishing, com um esquema de phishing de violação de tráfego para baixar o TrickBot.

TrickBot – identificado pela primeira vez em 2016 – é um Trojan desenvolvido e operado por um grupo sofisticado de atores do crime cibernético. Originalmente projetado como um cavalo de Troia bancário para roubar dados financeiros, o TrickBot evoluiu para um malware altamente modular e de vários estágios, que fornece a seus operadores um conjunto completo de ferramentas para conduzir uma infinidade de atividades cibernéticas ilegais.

Para se proteger contra o TrickBot, a CISA e o FBI recomendam a implementação das medidas de mitigação descritas logo abaixo, que incluem o bloqueio de IP’ suspeitos, uso de software antivírus e fornecimento de engenharia social e treinamento de phishing aos funcionários.

Detalhes técnicos

TrickBot é um cavalo de Tróia avançado que os agentes mal-intencionados espalham principalmente por campanhas de spearphishing usando e-mails personalizados que contêm anexos ou links maliciosos que, se habilitados, executam malware. A CISA e o FBI estão cientes de ataques recentes que usam e-mails de phishing, alegando conter provas de uma violação de tráfego, para roubar informações confidenciais. Os e-mails de phishing contêm links que redirecionam para um site hospedado em um servidor comprometido que solicita que a vítima clique em uma prova fotográfica de sua violação de tráfego. Ao clicar na foto, a vítima, sem saber, baixa um arquivo JavaScript malicioso que, quando aberto, se comunica automaticamente com o servidor de comando e controle (C2) do ator malicioso para fazer o download do TrickBot no sistema da vítima.

Os invasores podem usar o TrickBot para:

  • Lançar outro malware, como Ryuk e Conti ransomware ou
  • Sirva como um downloader Emotet.

O TrickBot usa ataques person-in-the-browser para roubar informações, como credenciais de login . Além disso, alguns dos módulos do TrickBot espalham o malware lateralmente em uma rede, utilizando do método de “abuse” do protocolo SMB (Server Message Block). Os operadores TrickBot têm um conjunto de ferramentas capaz de abranger toda a estrutura, desde a coleta ativa ou passiva de informações que podem ser usadas para apoiar a segmentação, até tentar manipular, interromper ou destruir sistemas e dados.

TrickBot é capaz de exfiltração de dados, criptomineração e enumeração de host. Para enumeração de host, os operadores entregam TrickBot em módulos contendo um arquivo de configuração com tarefas específicas.

Mitigações

A CISA e o FBI recomendam que os defensores da rede – nos governos federal, estadual, local, territorial e no setor privado – considerem a aplicação das seguintes práticas recomendadas para fortalecer a postura de segurança dos sistemas de suas organizações. Os proprietários e administradores do sistema devem revisar todas as alterações de configuração antes da implementação para evitar impactos negativos.

  • Fornecer treinamento de engenharia social e phishing aos funcionários.
  • Considere redigir ou atualizar uma política que trata de e-mails suspeitos que especifica que os usuários devem relatar todos os e-mails suspeitos aos departamentos de segurança e / ou TI.
  • Marque e-mails externos com um banner indicando que o email é de uma fonte externa para ajudar os usuários a detectar e-mails falsificados.
  • Implementar GPO’s (Group Policy Object) e regras de firewall.
  • Implemente um programa antivírus e um processo de gerenciamento de patch formalizado.
  • Implemente filtros no gateway de e-mail e bloqueie endereços IP suspeitos no firewall.
  • Siga o princípio do menor privilégio.
  • Implemente um sistema de autenticação de mensagem baseado em domínio, relatório e validação de conformidade.
  • Segmentar e segregar redes e funções.
  • Limite as comunicações laterais desnecessárias entre segmentos e dispositivos de rede.
  • Considere o uso de tecnologia de lista de permissões de aplicativos em todos os ativos para garantir que apenas o software autorizado seja executado e que todos os softwares não autorizados sejam bloqueados para execução nos ativos. Certifique-se de que essa tecnologia só permite que scripts autorizados e assinados digitalmente sejam executados em um sistema.
  • Imponha autenticação multifator.
  • Habilite um firewall nas estações de trabalho configuradas para negar solicitações de conexão não solicitadas.
  • Desative serviços desnecessários em estações de trabalho e servidores.
  • Implementar um sistema de detecção de intrusão, se ainda não for usado, para detectar a atividade C2 e outras atividades de rede potencialmente maliciosas
  • Monitore o tráfego da web. Restrinja o acesso do usuário a sites suspeitos ou arriscados.
  • Mantenha a consciência situacional das ameaças mais recentes e implemente listas de controle de acesso apropriadas.
  • Desative o uso de SMBv1 na rede e exija pelo menos SMBv2 para proteger os sistemas contra os módulos de propagação da rede usados ​​pelo TrickBot.

Fonte

TrickBot Malware | CISA

Fundada em 2002, a Network Secure é uma empresa especializada em segurança da informação e cyber security.

Saiba mais
Nossas redes:
Facebook Instagram Linkedin
Mapa do site
Nossos telefones
Solicite sua proposta
Solicite sua proposta
Todos os direitos reservados

Olá! Preencha os campos abaixo para iniciar a conversa no WhatsApp