A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, uma fornecedora de soluções de cibersegurança global, detalhou um ataque que atingiu 60 empresas pelo mundo, entre elas, estão a Amazon, a Microsoft e o Google. Foram mais de 140 mil máquinas de clientes infectadas pelo mesmo vírus desde novembro de 2020 – a lista completa de empresas você encontra no final desta página.
Trata-se do Trickbot, um trojan bancário capaz de roubar informações bancárias para acessar o internet banking de uma pessoa. Segundo a CPR, os cibercriminosos estão buscando seletivamente alvos de alto perfil para roubar e comprometer seus dados confidenciais. Outro ponto é que a infraestrutura do Trickbot pode ser utilizada por várias famílias de malware para causar mais danos em máquinas infectadas.
Os pesquisadores orientam aos usuários que abram apenas documentos de fontes confiáveis, pois os autores do Trickbot estão aproveitando as técnicas para fugir de ferramentas de cibersegurança. Algumas delas são a antianálise e a contra desobstrução, que dificulta a leitura de um código.
Publicidade
A tabela a seguir mostra a porcentagem de organizações afetadas pelo Trickbot em cada região:
Região
Organizações afetadas
Porcentagem
Global
1 de cada 451
2,2%
APAC
1 de cada 30
3,3%
América Latina
1 de cada 47
2,1%
Europa
1 de cada 54
1,9%
África
1 de cada 57
1,8%
América do Norte
1 de cada 69
1,4%
Abaixo, o mapa de calor com a porcentagem de empresas que foram afetadas pelo vírus em cada país de acordo com os dados de telemetria da Check Point Research (CPR):
Porcentagem de organizações impactadas pelo Trickbot – quanto mais escura a cor, maior o impacto (gráfico: divulgação Check Point).
Como acontecem os ciberataques com Trickbot
De acordo com a Check Point, um ciberataque com o Trickbot funciona assim:
Os atacantes recebem um banco de dados de e-mails roubados e enviam documentos maliciosos para os endereços escolhidos.
O usuário baixa e abre tal documento, permitindo a execução de macro no processo.
O primeiro estágio do malware é executado e a carga útil (payload, uma parte do arquivo) principal do Trickbot é baixada.
O payload do Trickbot é executado e estabelece sua persistência na máquina infectada.
Os módulos auxiliares do Trickbot podem ser carregados na máquina infectada sob demanda pelos atacantes, e a funcionalidade desses módulos pode variar: é possível se disseminar pela rede corporativa comprometida, roubando credenciais corporativas e detalhes de login para sites bancários, entre outras ações.
A Check Point divulgou os principais detalhes de implementação do Trickbot:
O malware é muito seletivo na escolha de seus alvos.
Vários truques (como antianálise e contra desobstrução) implementados dentro dos módulos mostram a formação altamente técnica dos autores.
A infraestrutura de Trickbots pode ser utilizada por várias famílias de vírus para causar mais danos em máquinas infectadas e obter mais vantagens de empresas.
Malware sofisticado e versátil com mais de 20 módulos que podem ser baixados e executados sob demanda.
Para se proteger, as recomendações são:
Abrir apenas documentos recebidos de fontes confiáveis. Não habilitar a execução de macros dentro dos documentos.
Certificar-se de ter o sistema operacional e as atualizações de antivírus mais recentes em execução.
