Hackers lançam malware Trickbot que rouba credenciais VNC, PuTTY e RDP

A nova variante do infame malware trickbot vem com a capacidade de obter credenciais de login de aplicativos remotos.

O Trickbot é um malware bancário que rouba credenciais de login de aplicativos, foi descoberto há muito tempo atrás, e os agentes de ameaças adicionam continuamente novos recursos ao malware.

Pesquisadores de segurança da TrendMicro observaram a variante de linha que era “ensacada” com um grande número de truques para capturar as credenciais de login.

Corrente de Infecção Trickbot

As cadeias de infecção começam com um e-mail parece ser uma notificação de incentivo fiscal de uma instituição financeira. O e-mail contém uma macro ativo a planilha do Microsoft Excel. Para string-encriptação a variante usa parâmetros XOR ou SUB.


Cadeia de infecção para o malware

Uma vez que a planilha maliciosa do usuário é aberta, a macro é executada e faz o download do malware trickbot que é ativado na máquina infectada.

A variante trickbot 2019 adiciona as três novas funções a seguir

  • Virtual Network Computing (VNC)
  • PuTTY
  • Plataformas RDP (Remote Desktop Protocol)

Virtual Network Computing (VNC)

Para capturar as credenciais de login, os módulos pwgrab procuram a vnc.lnk localizado nos seguintes diretórios.

% APPDATA% \ Microsoft \ Windows \ Recent 
% USERPROFILE% \ Documents,% USERPROFILE% \ Downloads

Ele extrai as informações a seguir da máquina infectada e envia para os servidores de comando e controle (C & C).

  • Nome do host da máquina de destino
  • Porta
  • Configurações de proxy

Informação roubada sendo exfiltrada para o servidor C & C.

PUTTY

Para pegar as credenciais de putty, ele consulta o Software \ SimonTatham \ Putty \ Sessions para identificar as sessões salvas e pega as seguintes informações.

  • Nome do host e nome de usuário
  • A chave privada para autenticação

RDP

Ele usa a API CredEnumerateA para procurar as credenciais de login salvas e exfiltrar o nome do host, o nome de usuário e a senha.

Indicadores de compromisso (IOCs)

Trickbot (detectado como TrojanSpy.Win32.TRICKBOT.AZ)

  • 374ef83de2b254c4970b830bb93a1dd79955945d24b824a0b35636e14355fe05

Trickbot (detectado como Trojan.Win32.MERETAM.AD)

  • Fcfb911e57e71174a31eae79433f12c73f72b7e6d088f2f35125cfdf10d2e1af

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.