QUARTA-FEIRA, 14 DE JUNHO DE 2017 - Horário 12:45
Blog do Forcepoint Security Labs: Trickbot utiliza botnet Necurs para propagar-se e acrescenta alvos nos países nórdicos
Tecnologia / Desde a semana passada, o Forcepoint Security Labs™ vem observando uma significativa campanha de e-mails maliciosos do Necurs botnet. O Necurs é um botnet eficaz conhecido por espalhar ransomwares Locky, tentativas de ações do tipo pump-and-dump e, mais recentemente, o ransomware Jaff.
Desta vez, no entanto, o Necurs foi observado espalhando o trojan bancário Trickbot pela primeira vez. Na campanha de e-mails maliciosos, aproximadamente 9,6 milhões de e-mails relacionados foram capturados e interrompidos pelo nosso sistema. A seguir, há uma captura de tela que mostra um e-mail relacionado:
Nos dois primeiros assuntos do e-mail, a cadeia de infecção é idêntica à que foi documentada para o Jaff - um arquivo PDF em anexo contém um arquivo de documento com um macro downloader que, por sua vez, faz downloads de Trickbot trojan.
Por outro lado, os e-mails com o campo de assunto em branco tinham um arquivo de documento com um macro downloader em vez de um PDF.
Trickbot continua a expandir seus alvos.
O Trickbot é uma família de malware relativamente nova, e acredita-se que ela seja a sucessora da terrível família Dyre. Ele surgiu em setembro do ano passado, inicialmente visando bancos na Austrália e no Reino Unido. Desde então, expandiu continuamente seus alvos para outros países e bancos.
A nova campanha tinha uma identificação de grupo "mac1". Ela fazia o download dos arquivos de configuração que continham uma lista atualizada de instituições financeiras direcionadas. Das 51 URLs direcionadas listadas no arquivo de configuração "dinj" apenas no mês de abril, o arquivo de configuração agora contém 130 URLs direcionadas. Dentre essas atualizações, há 16 bancos franceses direcionados que foram adicionados ao arquivo de configuração.
Outro arquivo de configuração ("sinj") também foi expandido de maneira semelhante: onde ele listava anteriormente 109 URLs direcionadas, as listas atualizadas trouxeram 333 URLs. Agora, esta configuração inclui websites de trinta e quatro instituições financeiras na Suécia, Noruega, Finlândia e Dinamarca.
Declaração de proteção
Os clientes Forcepoint™ estão protegidos contra esta ameaça pela Forcepoint Cloud Security, que inclui o Advanced Classification Engine (ACE) como parte de e-mail, Web e produtos de segurança NGFW. O ACE (também conhecido como Triton ACE) oferece análises sem assinatura para identificar intenções maliciosas, incluindo técnicas de evasão para mascarar o malware.
A proteção está presente nos seguintes estágios do ataque:
Estágio 2 (Lure) - E-mails maliciosos associados a este ataque são identificados e bloqueados.
Estágio 5 (Dropper File) - As variantes do Trickbot não podem ser baixadas.
Estágio 6 (Call Home) - Tentativas do Trickbot de entrar em contato com seu servidor C&C são bloqueadas.
Conclusão
O uso do Necurs botnet pelo Trickbot para se espalhar, combinado com a expansão dos seus países e instituições financeiras alvo, é uma clara tentativa de intensificar suas operações globais. Campanhas de e-mails maliciosos como esta dependem da fraqueza do ponto humano de interação com os sistemas, com a carga final neste caso, gerando provavelmente ramificações severas para seus alvos.
Nós antecipamos que o Trickbot continuará expandindo seus alvos e que o Forcepoint Security Labs™ continuará monitorando os desenvolvimentos dessa ameaça.