Trojan bancário infecta 140 mil máquinas da Amazon, Microsoft, Google e outras 57 corporações

A Check Point Research descobriu detalhes sofisticados da implementação do Trickbot e verificou que o trojan bancário infectou mais de 140 mil máquinas de clientes da Amazon, Microsoft, Google e outras 57 corporações em todo o mundo, desde novembro de 2020. China, indonésia, Portugal, Brasil, Rússia, Espanha e Índia aparecem entre os países com mais infecções. 

Os autores do Trickbot estão buscando seletivamente alvos de alto perfil para roubar e comprometer seus dados confidenciais. Além disso, a infraestrutura do Trickbot pode ser utilizada por várias famílias de malware para causar mais danos em máquinas infectadas. Os pesquisadores da Check Point Software orientam aos usuários que abram apenas documentos de fontes confiáveis, pois os autores do Trickbot estão aproveitando as técnicas evasivas (como antianálise e contra desobstrução que dificulta a leitura de um código) para persistirem nas máquinas.

Os atacantes recebem um banco de dados de e-mails roubados e enviam documentos maliciosos para os endereços escolhidos. O usuário baixa e abre tal documento, permitindo a execução de macro no processo. O primeiro estágio do malware é executado e a carga útil (payload) principal do Trickbot é baixada. O payload principal do Trickbot é executado e estabelece sua persistência na máquina infectada.

Os módulos auxiliares do Trickbot podem ser carregados na máquina infectada sob demanda pelos atacantes, e a funcionalidade desses módulos pode variar: é possível estar se disseminando pela rede corporativa comprometida, roubando credenciais corporativas e detalhes de login para sites bancários, entre outras ações.