{"id":18323,"date":"2021-10-22T09:00:33","date_gmt":"2021-10-22T12:00:33","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18323"},"modified":"2021-10-25T07:40:45","modified_gmt":"2021-10-25T10:40:45","slug":"trickbot-new-tricks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/trickbot-new-tricks\/18323\/","title":{"rendered":"Novos truques do Trojan Trickbot"},"content":{"rendered":"<p>Exatamente h\u00e1 cinco anos, em outubro de 2016, nossas solu\u00e7\u00f5es encontraram pela primeira vez um Trojan chamado Trickbot (tamb\u00e9m conhecido como TrickLoader ou Trickster). Na \u00e9poca, encontrado principalmente em computadores dom\u00e9sticos, sua principal tarefa era roubar credenciais de login para servi\u00e7os banc\u00e1rios online. Nos \u00faltimos anos, no entanto, seus criadores transformaram ativamente o trojan banc\u00e1rio em uma ferramenta modular multifuncional.<\/p>\n<p>Al\u00e9m do mais, o Trickbot agora \u00e9 popular entre os grupos cibercriminosos como um ve\u00edculo de entrega para injetar malware de terceiros na infraestrutura corporativa. Os meios de comunica\u00e7\u00e3o <a href=\"https:\/\/threatpost.com\/trickbot-cybercrime-elite-affiliates\/175510\/\" target=\"_blank\" rel=\"noopener nofollow\">relataram <\/a>recentemente que os criadores do Trickbot se juntaram a v\u00e1rios novos parceiros para usar o malware para infectar a infraestrutura corporativa com todos os tipos de amea\u00e7as adicionais, como o ransomware Conti.<\/p>\n<p>Tal reaproveitamento pode representar um perigo adicional para funcion\u00e1rios respons\u00e1veis pelas opera\u00e7\u00f5es corporativas de seguran\u00e7a e outros especialistas em ciberseguran\u00e7a. Algumas solu\u00e7\u00f5es de seguran\u00e7a ainda reconhecem o Trickbot como um Trojan banc\u00e1rio, de acordo com sua especialidade original. Portanto, os funcion\u00e1rios da infosec que o detectarem podem v\u00ea-lo como uma amea\u00e7a aleat\u00f3ria de usu\u00e1rio dom\u00e9stico que acidentalmente entrou na rede corporativa. Na verdade, sua presen\u00e7a ali pode indicar algo muito mais s\u00e9rio \u2013 uma tentativa de inje\u00e7\u00e3o de ransomware ou mesmo parte de uma opera\u00e7\u00e3o de ciberespionagem direcionada.<\/p>\n<p>Nossos especialistas conseguiram baixar m\u00f3dulos do Trojan de um de seus servidores C&amp;C e analis\u00e1-los completamente.<\/p>\n<h2>O que o Trickbot pode fazer agora<\/h2>\n<p>O objetivo principal do Trickbot atual \u00e9 penetrar e se espalhar nas redes locais. Seus operadores podem ent\u00e3o us\u00e1-lo para v\u00e1rias tarefas \u2013 desde revender o acesso \u00e0 infraestrutura corporativa para invasores terceirizados at\u00e9 roubar dados confidenciais. Aqui est\u00e1 o que o malware pode fazer agora:<\/p>\n<ul>\n<li>Coletar nomes de usu\u00e1rio, senhas e outras informa\u00e7\u00f5es \u00fateis para movimenta\u00e7\u00e3o lateral na rede do Active Directory e do registro;<\/li>\n<li>Interceptar o tr\u00e1fego da web no computador infectado;<\/li>\n<li>Fornecer controle remoto de dispositivo por meio do protocolo VNC;<\/li>\n<li>Roubar cookies de navegadores;<\/li>\n<li>Extrair credenciais de login do registro, bancos de dados de v\u00e1rios aplicativos e arquivos de configura\u00e7\u00e3o, al\u00e9m de roubar chaves privadas, certificados SSL e arquivos de dados para carteiras de criptomoedas;<\/li>\n<li>Interceptar dados de preenchimento autom\u00e1tico de navegadores e informa\u00e7\u00f5es que os usu\u00e1rios inserem em formul\u00e1rios em sites;<\/li>\n<li>Digitalizar arquivos em servidores FTP e SFTP;<\/li>\n<li>Incorporar scripts maliciosos em p\u00e1ginas da web;<\/li>\n<li>Redirecionar o tr\u00e1fego do navegador por meio de um proxy local;<\/li>\n<li>Sequestrar APIs respons\u00e1veis \u200b\u200bpela verifica\u00e7\u00e3o da cadeia de certificados para falsificar os resultados da verifica\u00e7\u00e3o;<\/li>\n<li>Coletar credenciais de perfil do Outlook, interceptar e-mails no Outlook e enviar spam por meio dele;<\/li>\n<li>Procurar o servi\u00e7o OWA e hacke\u00e1-lo por for\u00e7a bruta;<\/li>\n<li>Obter acesso ao hardware;<\/li>\n<li>Fornece acesso ao computador no n\u00edvel do hardware;<\/li>\n<li>Escanear dom\u00ednios em busca de vulnerabilidades;<\/li>\n<li>Encontrar endere\u00e7os de servidores SQL e executar consultas de pesquisa neles;<\/li>\n<li>Se espalhar pelos exploits EternalRomance e EternalBlue;<\/li>\n<li>Criar conex\u00f5es VPN.<\/li>\n<\/ul>\n<p>Uma descri\u00e7\u00e3o detalhada dos m\u00f3dulos e indicadores de comprometimento pode ser encontrada em nossa <a href=\"https:\/\/securelist.com\/trickbot-module-descriptions\/104603\/\" target=\"_blank\" rel=\"noopener\">publica\u00e7\u00e3o no Securelist<\/a>.<\/p>\n<h2>Como se proteger contra o Trojan Trickbot<\/h2>\n<p>As estat\u00edsticas mostram que a maioria das detec\u00e7\u00f5es do Trickbot neste ano foram registradas nos Estados Unidos, Austr\u00e1lia, China, M\u00e9xico e Fran\u00e7a. Isso n\u00e3o significa, entretanto, que outras regi\u00f5es s\u00e3o seguras, especialmente considerando a prontid\u00e3o de seus criadores para colaborar com outros cibercriminosos.<\/p>\n<p>Para evitar que sua empresa seja v\u00edtima desse Trojan, recomendamos que voc\u00ea equipe todos os dispositivos com conex\u00e3o de Internet com uma\u00a0 <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00e3o de seguran\u00e7a de alta qualidade<\/a>. Al\u00e9m disso, \u00e9 uma boa ideia usar os <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/managed-detection-and-response?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">servi\u00e7os de monitoramento de amea\u00e7as cibern\u00e9ticas<\/a> para detectar atividades suspeitas na infraestrutura da empresa.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Nos \u00faltimos cinco anos, o Trojan banc\u00e1rio Trickbot evoluiu para uma ferramenta multifuncional para cibercriminosos.<\/p>\n","protected":false},"author":2581,"featured_media":18324,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[903,83,225,807],"class_list":{"0":"post-18323","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ciberespionagem","11":"tag-ransomware","12":"tag-trojan-bancario","13":"tag-trojans"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trickbot-new-tricks\/18323\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trickbot-new-tricks\/23505\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trickbot-new-tricks\/18989\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/trickbot-new-tricks\/25590\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trickbot-new-tricks\/23654\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trickbot-new-tricks\/23134\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trickbot-new-tricks\/26285\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trickbot-new-tricks\/25818\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trickbot-new-tricks\/31757\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trickbot-new-tricks\/10184\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trickbot-new-tricks\/42622\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trickbot-new-tricks\/17922\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/trickbot-new-tricks\/15426\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trickbot-new-tricks\/27612\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/trickbot-new-tricks\/31837\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/trickbot-new-tricks\/27745\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trickbot-new-tricks\/24497\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trickbot-new-tricks\/29857\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trickbot-new-tricks\/29659\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/trojans\/","name":"Trojans"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18323"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18323\/revisions"}],"predecessor-version":[{"id":18326,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18323\/revisions\/18326"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/18324"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}