Trojan TrickBot se preparando para roubar chaves OpenSSH e OpenVPN

  • יום חמישי, 5 דצמבר, 2019
  • 15:30אחרי הצהריים

trojan_trickbot_deltaservers.png

Trojan bancário trickbot continua evoluindo, e atualmente está se preparando para roubar diversas chaves OpenSSH e OpenVPN, vejam todos os detalhes no mais novo artigo da Delta.

Trojan bancário Trickbot continua evoluindo, de acordo com pesquisadores que descobriram esta semana um módulo de captura de senha atualizado que poderia ser usado para roubar chaves privadas do OpenSSH e senhas e arquivos de configuração do OpenVPN.

TrickBot (também conhecido como TricksterTrickLoader e TheTrick) é um Malware modular e constantemente atualizado, atualizado continuamente com novos recursos e módulos desde outubro de 2016, quando foi detectado inicialmente na natureza.

Embora as primeiras variantes detectadas venham apenas com os recursos bancários de Trojan usados para coletar e filtrar dados confidenciais para seus mestres, o TrickBot agora também é um popular conta-gotas de Malware observado ao infectar sistemas com outras cepas de Malware, às vezes mais perigosas.

Aplicativos OpenSSH e OpenVPN recentemente direcionados;

O módulo de captura de senha recém-atualizado do Trickbot, que agora visa os aplicativos OpenSSH e OpenVPN, foi descoberto por pesquisadores da unidade 42 da palo alto networks em um dispositivo Windows 7 de 64 bits comprometido em 8 de novembro.

O módulo pwgrab64 password grabber que eles encontraram não é uma novidade, pois foi descoberto por pesquisadores em novembro de 2018 ao analisar uma variante capaz de saquear senhas de vários navegadores e aplicativos como Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge, Microsoft Outlook, Filezilla e WinSCP.

Em fevereiro, esse módulo ladrão de senhas foi atualizado para obter credenciais utilizadas para autenticação em servidores remotos usando VNC, PuTTY e RDP (Remote Desktop Protocol).

imagem-01.png

Os pesquisadores da unidade 42 agora descobriram que o Trickbot agora está usando solicitações HTTP POST para enviar chaves privadas OpenSSH e senhas OpenVPN e arquivos de configuração para seus servidores de comando e controle (C2).

No entanto, como eles descobriram mais tarde, após examinar mais de perto o tráfego C2 do Malware nos hosts infectados do Windows 7 e Windows 10, o Trojan ainda não exfiltrar dados, sugerindo que seus criadores estão apenas testando esse novo recurso adicionado.

Conforme eles determinaram ainda mais, essa nova variante do Trickbot ainda é tão perigosa quanto nunca, pois ainda pode pegar chaves privadas de aplicativos relacionados ao SSH, como o PuTTY, e entregá-las aos seus operadores.

"Esses padrões de tráfego atualizados demonstram que o Trickbot continua a evoluir. No entanto, as práticas recomendadas de segurança, como a execução de versões totalmente corrigidas e atualizadas do Microsoft Windows, impedirão ou interromperão as infecções pelo Trickbot", concluiu a equipe de pesquisa da unidade 42 .

Trojan bancário atualizado regularmente;

TrickBot também é um dos Malwares mais agressivos da atualidade, depois de substituir o Emotet como a variedade mais distribuída via mal-spam até que o último foi revivido em agosto.

Em agosto, as operadoras da Trickbot atacaram os usuários da Verizon Wireless, T-Mobile e Sprint que tentavam roubar seus códigos PIN por meio de objetos dinâmicos da web e também usaram o processador de texto on-line do Google Docs para infectar vítimas inocentes usando executáveis camuflados como documentos PDF.

Confira:

https://twitter.com/abuse_ch/status/1161313895887376384?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1161313895887376384&ref_url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fsecurity%2Ftrickbot-trojan-getting-ready-to-steal-openssh-and-openvpn-keys%2F

TrickBot também foi atualizado com os recursos de contornar o Windows Defender, foi atualizado com um novo módulo proxy IcedID para roubar informações bancárias e seus criadores introduziram um novo módulo para roubar cookies do navegador durante julho.

Em janeiro, os pesquisadores da FireEye e da CrowdStrike descobriram que o TrickBot ingressou no negócio de acesso como serviço, permitindo que outros atores tivessem acesso às redes que haviam infectado anteriormente, fornecendo-lhes Shells reversos para se infiltrar no restante da rede. Cargas úteis.

Ainda mais atrás, em julho de 2017, o Trickbot tornou-se capaz de se auto propagar por meio de um componente de auto-propagação que melhorou sua capacidade de se espalhar rapidamente por redes inteiras.

Deixe seu comentário abaixo para sabermos qual é sua opinião em relação a esse Trojan.

« חזרה

Não sabe por onde começar?

Fale no WhatsApp