TrickBot: Explora PCs infectados para lançar ataques de força bruta RDP

Foi recentemente descoberto um novo módulo para o Trojan bancário TrickBot que permite que os invasores explorem sistemas comprometidos para lançar ataques de força bruta contra sistemas Windows selecionados que executam uma conexão RDP (Remote Desktop Protocol) baseada na Internet.

O módulo, apelidado de “rdpScanDll”, foi descoberto em 30 de janeiro e ainda está no ambiente, disse a Bitdefender em um relatório publicado no The Hacker.

Segundo os pesquisadores, o módulo rdpScanDll de força bruta até agora tentou atingir 6.013 servidores RDP pertencentes a empresas de telecomunicações, educação e finanças nos Estados Unidos e Hong Kong.

Os criadores do malware TrickBot se especializam no lançamento de novos módulos e versões do Trojan, em um esforço para expandir e melhorar seus recursos.

“A flexibilidade do design do módulo tornou o TrickBot um malware muito sofisticado e sofisticado, capaz de uma ampla gama de atividades maliciosas”, disseram os pesquisadores.

“Dos complementos para ocultar dados confidenciais do OpenSSH e do OpenVPN, às unidades que executam ataques de substituição do SIM para controlar o número de telefone de um usuário e até desativar os mecanismos de segurança integrados do Windows antes de baixar os módulos principais, o TrickBot está completamente completo “.

TrickBot

Como o módulo de força bruta do TrickBot RDP funciona?

Quando o TrickBot começa a ser executado, ele cria uma pasta contendo cargas criptografadas e arquivos de configuração relacionados, que incluem uma lista de servidores de comando e controle (C2) com os quais o plug-in deve entrar em contato para recuperar comandos. para ser executado.

De acordo com o Bitdefender, o plug-in rdpScanDll compartilha o arquivo de configuração com outro módulo chamado “vncDll”, enquanto usa um formato de URL padrão para se comunicar com os novos servidores C2.

Enquanto a função “check” verifica uma conexão RDP a partir da lista de destinos, a função “trybrute” tenta um ato de força bruta no destino selecionado usando uma lista predefinida de nomes de usuário e senhas recebidos do terminal “/ rdp / names ”/ Rdp / dict“ respectivamente.

“Modo bruto”, segundo os pesquisadores, ainda parece estar crescendo. Além de incluir um conjunto de funções executáveis ​​que não são chamadas, o modo “não recupera a lista de usuários, fazendo com que o plug-in use senhas e nomes de usuário nulos para verificar a identidade na lista de destino”.

Depois que a lista inicial de IPs direcionados coletados através de “/ rdp / domains” é esgotada, o plug-in recupera outro conjunto de novos IPs usando um segundo ponto de extremidade “/ rdp / over”.

As duas listas, que incluem 49 e 5.964 endereços IP, incluíram metas nos Estados Unidos e Hong Kong e cobriram telecomunicações, educação, finanças e pesquisa científica.

Uma história de possibilidades em evolução

Disperso por meio de campanhas por email, o TrickBot começou sua vida como banco de Tróia em 2016, facilitando o roubo financeiro. Desde então, ele evoluiu para fornecer outros tipos de malware, incluindo o infame ransomware Ryuk, para atuar como ladrão de informações, roubar carteiras de Bitcoin e coletar e-mails e credenciais.

As campanhas de mal-spam fornecidas pelo TrickBot usam o nome da marca que o destinatário pode conhecer, como faturas de empresas contábeis e financeiras.

Os emails geralmente incluem um anexo, como um documento do Microsoft Word ou Excel, que, quando aberto, solicita que o usuário ative macros – executando um VBScript para executar um pacote do PowerShell para baixar o malware.

O TrickBot também cai como carga secundária de outro malware, principalmente da campanha de spam de botnet emotet. Para ser persistente e evitar a detecção, foi encontrado um malware para criar um trabalho e serviço agendado e até desativar e excluir o antivírus do Windows Defender.

Isso levou a Microsoft a desenvolver um recurso de proteção contra adulteração para proteger contra alterações maliciosas e não autorizadas nos recursos de segurança no ano passado.

Artigos Relacionados

Back to top button