Aviso! O TrickBot Trojan Melhora Suas Técnicas para Evitar a Detecção
O Trojan TrickBot parece nunca sair de moda. O que começou como um Trojan bancário sofisticado, mas relativamente unidimensional, evoluiu para um canivete suíço multifuncional de um kit de ferramentas de malware. Novas pesquisas sobre o TrickBot mostram que o malware está em alta, tanto no que diz respeito à sua atividade quanto à proteção cada vez maior contra detecção.
Pesquisadores de segurança do Trusteer da IBM separaram amostras recentemente interceptadas do TrickBot e publicaram um relatório sobre as maneiras cada vez mais complexas pelas quais o malware oculta sua atividade e lida com suas injeções de código. O artigo descreve quatro métodos diferentes que o TrickBot usa para evitar a detecção.
Índice
Remoção de Injeções Locais
Embora os pesquisadores possam analisar as injeções de código usadas pelo TrickBot que são armazenadas localmente no dispositivo comprometido, as coisas se tornam muito mais difíceis quando o malware pede código e injeta-o diretamente de seus servidores. O TrickBot usa um carregador JS para obter a injeção apropriada dos seus servidores de Comando e Controle.
Interação Segura com o Command Server
Ao enviar solicitações para o seu servidor C2, o TrickBot usa HTTPS e implementa o sinalizador "unsafe-url" na política de referência. Esse sinalizador provavelmente é usado para informar ao servidor C2 sobre a página específica que o usuário abriu em seu navegador para que a respectiva injeção de código possa ser retornada.
Além disso, o TrickBot pode sequestrar as funções de verificação de certificado do dispositivo da vítima, suprimindo todos os erros que possam surgir da comunicação prejudicial que o bot está acionando.
Recursos Anti-Depuração
O TrickBot também implementou um novo script anti-depuração. O anti-depurador procura o código pertencente ao TrickBot que foi alterado e "embelezado" para torná-lo mais legível para os humanos, disseram os pesquisadores da IBM. O malware usa comandos RegEx para verificar o código que foi limpo e convertido do Base64, com espaços e novas linhas adicionados para torná-lo mais atraente.
Se o anti-depurador descobrir que o código foi retocado pelos pesquisadores e "embelezado", ele lança o malware em um loop que trava o navegador muito em breve, à medida que a memória sobrecarrega.
Código Ofuscante
Por padrão, o código usado para injeção pelo TrickBot é sempre codificado usando o Base64. Além disso, o malware usa etapas extras para criptografar e ofuscar seu código.
O código morto também é injetado entre expressões legítimas, semelhante ao que outros malwares fazem, para dificultar a determinação do verdadeiro propósito dos módulos do malware.
O código é encurtado e "enfeiado" para torná-lo ininteligível a olho nu, mas ainda mantém suas capacidades prejudiciais. Strings em funções são movidas para matrizes e depois criptografadas, dificultando ainda mais o trabalho dos pesquisadores. Os valores atribuídos às variáveis são propositadamente representados não como números inteiros, mas como hexadecimais, geralmente em expressões absurdas. Um exemplo fornecido pelos pesquisadores é um valor zero sendo inicializado no código usando a string (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34cc2) .
O TrickBot tem sido uma potência no mundo das ferramentas ameaçadoras há anos e não mostra sinais reais de desaceleração ou desaparecimento. Houve tentativas de derrubar sua infraestruturaprejudicial, mas o sucesso foi muito limitado e parece que o malware ainda está forte, anos após seu lançamento inicial.