TrickBot
O que é TrickBot?
TrickBotTrojan bancario modular e framework pos-exploracao operado pela equipa WIZARD SPIDER, que abriu caminho aos ransomwares Ryuk, Conti e Diavol.
O TrickBot surgiu em 2016 como sucessor do Dyre e evoluiu rapidamente de trojan bancario para um framework pos-exploracao versatil. Operado pelo cluster criminal WIZARD SPIDER, fornecia modulos para roubo de credenciais, injecao em navegadores, reconhecimento de Active Directory, movimento lateral por SMB e proxies SOCKS. Foi loader principal de Ryuk, Conti e mais tarde Diavol, e esteve fortemente associado a infecoes Emotet entre 2018 e 2020. A equipa Defender da Microsoft e o US Cyber Command perturbaram a sua infraestrutura em outubro de 2020, e os vazamentos da Conti em 2022 revelaram ligacoes profundas entre desenvolvedores do TrickBot e a operacao Conti. A base de codigo deu depois origem ao Bumblebee.
● Exemplos
- 01
O TrickBot recolhe credenciais de Domain Admin no portatil de um contabilista e envia-as aos operadores que implantam o Conti.
- 02
Uma equipa de resposta encontra o modulo pwgrab64 do TrickBot na memoria junto a componentes do Ryuk num controlador de dominio.
● Perguntas frequentes
O que é TrickBot?
Trojan bancario modular e framework pos-exploracao operado pela equipa WIZARD SPIDER, que abriu caminho aos ransomwares Ryuk, Conti e Diavol. Pertence à categoria Malware da cibersegurança.
O que significa TrickBot?
Trojan bancario modular e framework pos-exploracao operado pela equipa WIZARD SPIDER, que abriu caminho aos ransomwares Ryuk, Conti e Diavol.
Como funciona TrickBot?
O TrickBot surgiu em 2016 como sucessor do Dyre e evoluiu rapidamente de trojan bancario para um framework pos-exploracao versatil. Operado pelo cluster criminal WIZARD SPIDER, fornecia modulos para roubo de credenciais, injecao em navegadores, reconhecimento de Active Directory, movimento lateral por SMB e proxies SOCKS. Foi loader principal de Ryuk, Conti e mais tarde Diavol, e esteve fortemente associado a infecoes Emotet entre 2018 e 2020. A equipa Defender da Microsoft e o US Cyber Command perturbaram a sua infraestrutura em outubro de 2020, e os vazamentos da Conti em 2022 revelaram ligacoes profundas entre desenvolvedores do TrickBot e a operacao Conti. A base de codigo deu depois origem ao Bumblebee.
Como se defender contra TrickBot?
As defesas contra TrickBot costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para TrickBot?
Nomes alternativos comuns: WIZARD SPIDER, TrickLoader.
● Termos relacionados
- malware№ 084
Trojan bancário
Malware concebido para roubar credenciais de banca online e autorizar transações fraudulentas, normalmente através de web injects, captura de formulários ou sobreposições.
- malware№ 954
Ransomware Ryuk
Familia de ransomware direcionado operada pelo WIZARD SPIDER desde 2018, que extorquiu grandes resgates a empresas, hospitais e administracoes locais via intrusoes TrickBot.
- malware№ 377
Emotet
Trojan bancario modular transformado em loader malware-as-a-service que distribuia ransomware de afiliados e foi desmantelado por autoridades internacionais em janeiro de 2021.
- malware№ 621
Loader
Malware que prepara o ambiente e carrega cargas posteriores — frequentemente diretamente em memória — para a fase seguinte de um ataque.