Nworm

O componente Nworm é um recurso presente no notório infostealer TrickBot. Esse recurso parece ter sido introduzido pela primeira vez no infostealer TrickBot em abril de 2020.

O objetivo do recurso Nworm é fazer com que o infostealer do TrickBot opere silenciosamente. No entanto, para conseguir isso, o módulo Nworm impede que a ameaça obtenha persistência no host infectado. A maioria dos agentes de defesa do mercado garantiria persistência no sistema comprometido para garantir que eles possam operar por períodos mais longos e, portanto, filtram mais dados. No entanto, os operadores do infostealer do TrickBot podem ter feito uma escolha inteligente para se livrar do recurso de persistência em troca de uma ameaça que opera silenciosamente. Isso ocorre porque o infostealer do TrickBot direciona os servidores, em vez dos PCs regulares, principalmente. Como os servidores têm muito menos probabilidade de serem reinicializados regularmente, o recurso de persistência não é crucial para uma campanha bem-sucedida de infiltração. Por causa do módulo Nworm, o infostealer do TrickBot é executado diretamente da memória do host infectado, deixando pouco ou nenhum vestígio de sua atividade. Isso dificulta a detecção da presença do infostealer TrickBot em um sistema comprometido. Também torna bastante difícil determinar se o infostealer do TrickBot violou o sistema no passado.

Outro recurso introduzido pelo módulo Nworm é a utilização de um processo complexo de criptografia e descriptografia. Esse é outro recurso que ajuda o infostealer do TrickBot a operar com muito sigilo. Antes da introdução deste módulo, o infostealer do TrickBot buscava a carga útil em um formato simples - isso facilita muito as medidas de segurança para detectar a atividade prejudicial da ameaça e, portanto, interromper o ataque.

Desde a introdução do componente Nworm, ficou claro que os operadores do infostealer TrickBot estão enfatizando a discrição e a persistência.

Nworm capturas de tela