Dicas
O Trickbot é um Trojan bancário estabelecido usado em ataques cibernéticos contra empresas e indivíduos no Reino Unido e no exterior.
Os ataques do Trickbot são projetados para acessar contas online, incluindo contas bancárias, a fim de obter informações de identificação pessoal (PII). Os criminosos usam PII para cometer fraudes de identidade.
Em alguns casos, o Trickbot é usado para se infiltrar em uma rede. Uma vez dentro, ele pode ser usado para implantar outros malwares, incluindo ransomware e kits de ferramentas pós-exploração.
O Trickbot tem como alvo as vítimas com e-mails de phishing bem elaborados, projetados para parecer enviados de marcas comerciais ou governamentais confiáveis. Esses e-mails geralmente contêm um anexo (ou link para um anexo) que as vítimas são instruídas a abrir, levando a exploração da máquina.
O que o Trickbot pode fazer?
O Trickbot pode baixar novos recursos no dispositivo da vítima (além de atualizar os que já foram implantados) sem a interação da vítima.
O Trickbot pode:
> roubar informações confidenciais, incluindo detalhes de login bancário e informações memoráveis
> reunir informações detalhadas sobre dispositivos e redes infectados
> roubar senhas salvas da conta on-line, cookies e histórico da web
> roubar credenciais de login para dispositivos infectados, incluindo credenciais de domínio
> conectar dispositivos infectados a redes maliciosas e controladas criminalmente pela Internet, oferecendo aos criminosos controle total sobre eles
> espalhar-se pela rede da vítima infectando outros dispositivos, incluindo aqueles em domínios confiáveis (conhecidos como movimento lateral ), geralmente usando compartilhamentos SMB
> baixar outros arquivos maliciosos, como ferramentas de acesso remoto, clientes VNC e ransomware
Lidando com uma possível infecção pelo Trickbot
As vítimas do Trickbot observaram várias atividades maliciosas, incluindo:
> tentativas de acesso não autorizado a contas online
> atividade bem-sucedida e fraudulenta de transferência bancária
> alterações não autorizadas em sua infraestrutura de rede
Para proteger instalações comerciais e de banco pessoal (incluindo onde os funcionários acessaram o banco pessoal a partir de dispositivos de trabalho), você deve:
> considere alterar senhas e informações memoráveis de qualquer banco de negócios corporativo, comercial ou pessoal da Internet (ou outros recursos on-line) acessados da rede infectada
> revise extratos bancários e de cartão de crédito em busca de atividades suspeitas e relate quaisquer descobertas ao seu banco
> aconselhar todos os funcionários que acessaram facilidades bancárias on-line da rede afetada a fazer o mesmo
Se você (ou seus funcionários) foi vítima de fraude, denuncie à Ação Fraude .
Ação de proteção a ser executada agora
Execute uma verificação completa em todos os dispositivos usando software antivírus atualizado, como o Windows Defender. Isso deve detectar e remover qualquer infecção pelo Trickbot.
Mitigações
Use as versões mais recentes suportadas de sistemas operacionais e software, aplique patches de segurança imediatamente, use antivírus e verifique regularmente para se proteger contra ameaças de malware conhecidas.
> Mantenha o software antivírus atualizado e considere o uso de um produto antivírus baseado em nuvem que pode se beneficiar da inteligência aprimorada contra ameaças e análise avançada que as operações em grande escala trazem. Verifique se o software antivírus é capaz de verificar as macros do MS Office.
> Verifique se os dados importantes estão armazenados em um backup offline , para reduzir o impacto do ransomware.
> Use autenticação multifator (MFA) , também conhecida como verificação em duas etapas ou autenticação de 2 fatores (2FA).
> Evite e detecte movimentos laterais nas redes da sua empresa.
> Implemente controles arquiteturais para segregação de rede . Isso ajudaria a mitigar a exposição dos problemas SMB descritos acima.
> Configure um recurso de monitoramento de segurança para poder coletar os dados necessários para analisar invasões de rede.
> Se suportado pelo seu ambiente operacional, considere os aplicativos permitidos na lista de permissões . Isso ajudará a impedir a execução de aplicativos maliciosos.
