Novo componente de malware Trickbot executa reconhecimento na rede local
O malware Trickbot foi um dos malwares mais prolíficos em 2020, ganhando popularidade por várias operações maliciosas relacionadas a iscas COVID-19. Depois de vários altos e baixos durante um esforço de derrubada em outubro de 2020, o Trickbot introduziu recentemente um novo módulo para escanear sistemas de rede locais com portas abertas para movimento lateral rápido.
Mergulhando nos detalhes
O componente mais recente denominado masrv foi compilado pela primeira vez em 4 de dezembro de 2020 e ainda está em teste. Até agora, os pesquisadores só conseguiram encontrar uma variante deste módulo.
- De acordo com a pesquisa da Kryptos Logic, o Trickbot tem usado o componente masrv, que provavelmente incorpora uma cópia do utilitário de código aberto Masscan para reconhecimento de rede local.
- O componente está sendo descartado em dispositivos infectados recentemente para localizar sistemas com portas sensíveis ou de gerenciamento deixadas abertas dentro de uma rede interna.
- Os operadores do Trickbot podem usar essas portas abertas para implantar outros módulos e mover lateralmente para infectar novos sistemas.
O invencível Trickbot
O Trickbot se tornou a principal ameaça de fato aos ambientes corporativos depois de sobreviver à tentativa de derrubada.
- Em uma recente campanha de spam malicioso , o prolífico malware Trickbot estava visando ativamente as verticais legais e de seguros na América do Norte, usando a isca de uma infração de tráfego.
- No final de janeiro, uma versão mais persistente do malware Trickbot foi observada com vários aprimoramentos.
Conclusão
O módulo adicional para o reconhecimento de rede local demonstra os planos futuros dos operadores de malware Trickbot. Os atores da ameaça estão ansiosos para infectar mais sistemas com truques sofisticados para ataques futuros.
Fonte: https://cyware.com/