Jump to content

Trojan TrickBot se preparando para roubar chaves OpenSSH e OpenVPN


Recommended Posts

trojan_trickbot_deltaservers.png

O Trojan bancário trickbot continua evoluindo, e atualmente está se preparando para roubar diversas chaves OpenSSH e OpenVPN, vejam todos os detalhes no mais novo artigo da Delta.

 

O Trojan bancário Trickbot continua evoluindo, de acordo com pesquisadores que descobriram esta semana um módulo de captura de senha atualizado que poderia ser usado para roubar chaves privadas do OpenSSH e senhas e arquivos de configuração do OpenVPN.

O TrickBot (também conhecido como Trickster, TrickLoader e TheTrick) é um Malware modular e constantemente atualizado, atualizado continuamente com novos recursos e módulos desde outubro de 2016, quando foi detectado inicialmente na natureza.

Embora as primeiras variantes detectadas venham apenas com os recursos bancários de Trojan usados para coletar e filtrar dados confidenciais para seus mestres, o TrickBot agora também é um popular conta-gotas de Malware observado ao infectar sistemas com outras cepas de Malware, às vezes mais perigosas.

Aplicativos OpenSSH e OpenVPN recentemente direcionados;

O módulo de captura de senha recém-atualizado do Trickbot, que agora visa os aplicativos OpenSSH e OpenVPN, foi descoberto por pesquisadores da unidade 42 da palo alto networks em um dispositivo Windows 7 de 64 bits comprometido em 8 de novembro.

O módulo pwgrab64 password grabber que eles encontraram não é uma novidade, pois foi descoberto por pesquisadores em novembro de 2018 ao analisar uma variante capaz de saquear senhas de vários navegadores e aplicativos como Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge, Microsoft Outlook, Filezilla e WinSCP.

Em fevereiro, esse módulo ladrão de senhas foi atualizado para obter credenciais utilizadas para autenticação em servidores remotos usando VNC, PuTTY e RDP (Remote Desktop Protocol).

imagem-01.png

Os pesquisadores da unidade 42 agora descobriram que o Trickbot agora está usando solicitações HTTP POST para enviar chaves privadas OpenSSH e senhas OpenVPN e arquivos de configuração para seus servidores de comando e controle (C2).

No entanto, como eles descobriram mais tarde, após examinar mais de perto o tráfego C2 do Malware nos hosts infectados do Windows 7 e Windows 10, o Trojan ainda não exfiltrar dados, sugerindo que seus criadores estão apenas testando esse novo recurso adicionado.

Conforme eles determinaram ainda mais, essa nova variante do Trickbot ainda é tão perigosa quanto nunca, pois ainda pode pegar chaves privadas de aplicativos relacionados ao SSH, como o PuTTY, e entregá-las aos seus operadores.

"Esses padrões de tráfego atualizados demonstram que o Trickbot continua a evoluir. No entanto, as práticas recomendadas de segurança, como a execução de versões totalmente corrigidas e atualizadas do Microsoft Windows, impedirão ou interromperão as infecções pelo Trickbot", concluiu a equipe de pesquisa da unidade 42 .

Trojan bancário atualizado regularmente;

O TrickBot também é um dos Malwares mais agressivos da atualidade, depois de substituir o Emotet como a variedade mais distribuída via mal-spam até que o último foi revivido em agosto.

Em agosto, as operadoras da Trickbot atacaram os usuários da Verizon Wireless, T-Mobile e Sprint que tentavam roubar seus códigos PIN por meio de objetos dinâmicos da web e também usaram o processador de texto on-line do Google Docs para infectar vítimas inocentes usando executáveis camuflados como documentos PDF.

Confira:

https://twitter.com/abuse_ch/status/1161313895887376384?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1161313895887376384&ref_url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fsecurity%2Ftrickbot-trojan-getting-ready-to-steal-openssh-and-openvpn-keys%2F

O TrickBot também foi atualizado com os recursos de contornar o Windows Defender, foi atualizado com um novo módulo proxy IcedID para roubar informações bancárias e seus criadores introduziram um novo módulo para roubar cookies do navegador durante julho.

Em janeiro, os pesquisadores da FireEye e da CrowdStrike descobriram que o TrickBot ingressou no negócio de acesso como serviço, permitindo que outros atores tivessem acesso às redes que haviam infectado anteriormente, fornecendo-lhes Shells reversos para se infiltrar no restante da rede. Cargas úteis.

Ainda mais atrás, em julho de 2017, o Trickbot tornou-se capaz de se auto propagar por meio de um componente de auto-propagação que melhorou sua capacidade de se espalhar rapidamente por redes inteiras.

Deixe seu comentário abaixo para sabermos qual é sua opinião em relação a esse Trojan.

Link to post
Share on other sites

  • Replies 0
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.




Chat

Chat

    You don't have permission to chat.
    ×
    ×
    • Create New...