Publicado em Tecnologia

Blog do Forcepoint Security Labs: Trickbot de olho nas criptomoedas

por em05 Setembro 2017 116 acessos
  • .
Report ThisConteúdo Inadequado? Avise-nos

O Forcepoint Security Labs encontrou uma campanha Trickbot em andamento que parece ter como alvo as criptomoedas. O Trickbot é um Trojan bancário conhecido tradicionalmente por atacar instituições financeiras.

Recentemente, observamos o Trickbot focando no Paypal e expandindo sua lista de alvos para instituições dos países nórdicos.

A campanha atual usa o Canadian Imperial Bank of Commerce (CIBC) como isca de engenharia social. Abaixo temos uma captura de tela do e-mail:

F1

O documento anexado está disfarçado como um documento do CIBC. Ele contém um downloader macro que faz o download e executa uma variante do Trickbot.

No momento de redação deste post, mais de 8.600 e-mails relacionados foram capturados pelos nossos sistemas, com Reino Unido, Canadá e França como os três principais alvos, embora a maioria dos destinatários tenha ".com" como domínio de topo (TLD).

A variante do Trickbot baixada possui a etiqueta do grupo "kas2". Os arquivos de configuração descriptografados contêm uma lista de destinos já vistos em campanhas anteriores, com uma exceção: o site coinbase.com foi adicionado aos sites monitorados para injeções na web. Especificamente, foi anexado ao arquivo de configuração "sinj" (injeção estática):

F22

Coinbase é um site de câmbio de criptomoedas que opera com Bitcoin, Litecoin, Ethereum e outros ativos digitais. Com o Coinbase como alvo, moedas não-tradicionais agora também estão em risco de serem roubadas de potenciais vítimas do trojan bancário Trickbot.

DECLARAÇÃO DE PROTEÇÃO

Os clientes da Forcepoint™ estão protegidos contra esta ameaça através do Forcepoint Cloud Security, que inclui o ACE (Advanced Classification Engine) como parte dos produtos de segurança para e-mail, web e NGFW. O ACE (também conhecido como Triton ACE) fornece análises sem assinaturas para identificar intenções maliciosas, incluindo técnicas de evasão para mascarar o malware.

A proteção é aplicada nas seguintes etapas do ataque:

Etapa 2 (Atração) - E-mails maliciosos associados a este ataque são identificados e bloqueados.
Etapa 5 (Arquivo Dropper) - As variantes Trickbot são impedidas de serem baixadas.
Etapa 6 (Call Home) - Tentativas do Trickbot de contatar seu servidor C&C são bloqueadas.

CONCLUSÃO

Há aproximadamente um ano, nós relatamos  um potencial interesse dos criadores de ameaças pelas criptomoedas através de atualizações de código do conhecido Trojan bancário Dridex.  Agora vemos movimentos semelhantes no Trickbot, com os autores incluindo um site de câmbio de moedas digitais na sua lista de alvos.

O Forcepoint Security Labs continuará monitorando essa ameaça.