250 milhões de e-mails podem ter sido hackeados pelo malware Trickbot

Mais de 250 milhões de contas de e-mail podem ter sido hackeadas e usadas para espalhar o malware Trickbot na Internet, de acordo com levantamento da empresa de segurança digital DeepInstinct. O resultado da investigação foi divulgado na última sexta-feira (12) e indica que milhões de endereços do Gmail, Yahoo e Hotmail podem ter sido afetados, além de contas de governos e instituições públicas dos Estados Unidos, Reino Unido e Canadá.
O malware Trickbot já é conhecido dos pesquisadores da área de segurança na Internet desde 2016 – à época, tratava-se "apenas" de um trojan bancário. Nos ataques atuais, o vírus ganhou o módulo de infecção e distribuição baseado em e-mails e capacidade de roubo de cookies. Atualmente, o malware invade a conta de e-mail da vítima para disparar spam para seus contatos e infectar mais pessoas e roubar dados bancários. Depois, apaga tudo para não deixar rastros.

Como o Trickbot funciona

Em sua investigação sobre o novo módulo do malware e a estrutura associada a ele, o DeepInstincts conseguiu recuperar uma base de dados contendo 250 milhões de contas de e-mail coletadas por operadores do TrickBot.
A máquina infectada com o malware recebe instruções para fazer o download de um programa de distribuição chamado TrickBooster. Esse software se reporta ao servidor de comando e envia listas de credenciais e endereços de e-mail coletados tanto do catálogo de endereços, quanto das caixas de entrada e saída.
Depois, o servidor instrui o robô a disparar e-mails maliciosos de spam para esses endereços por meio da conta da vítima e, logo depois, apaga os registros tanto das mensagens enviadas, quanto da lixeira, para não deixar nenhum vestígio. A estratégia pode estar sendo usada para propagação e infecção de novas contas e disseminação de spam com propósitos financeiros.
Infográfico da DeepInstinct mostra como o Trickbot funciona — Foto: Divulgação/DeepInstinctInfográfico da DeepInstinct mostra como o Trickbot funciona — Foto: Divulgação/DeepInstinctInfográfico da DeepInstinct mostra como o Trickbot funciona — Foto: Divulgação/DeepInstinct
A base de e-mails recuperada pelo DeepInstinct contém milhões de endereços de provedores populares, como Gmail e Yahoo, mas também tem uma amostra considerável de contas grandes de governo, tanto nos Estados Unidos quanto no Reino Unido. Outras organizações encontradas incluem universidades no Reino Unido e no Canadá, e várias agências provinciais do Canadá.
"Conseguimos recuperar uma base de dados contendo 250 milhões de contas de e-mail coletadas por operadores do TrickBot, que provavelmente também foram empregadas como listas de alvos para entrega e infecção maliciosas. A base de dados inclui milhões de endereços de departamentos e agências governamentais nos EUA e no Reino Unido", detalha a nota oficial da empresa.
O centro de pesquisas também divulgou uma lista com os números de contas que podem ter sido afetadas por servidor de e-mail:
  • Gmail.com – 25 milhões
  • Yahoo.com – 19 milhões
  • Hotmail.com – 11 milhões
  • Aol.com – 7 milhões
  • Msn.com – 3 milhões
  • Yahoo.co.uk – 2 milhões
Os pesquisadores da DeepInstinct dizem que mais análises estão sendo feitas em cima do Trickbot, mas afirmaram, em entrevista ao site TechCrunch, que a incorporação do TrickBooster foi "uma adição poderosa ao já vasto arsenal de ferramentas do TrickBot", levando em conta a capacidade do módulo de evitar detecção pela maioria dos antivírus . Como o spam é enviado por um endereço confiável, também aumentam as chances de que os anexos infectados sejam abertos pelas vítimas.
Descoberto em 2016, o Trickbot se apresenta como uma ameaça contínua nos últimos anos, com um grande poder de adaptação no cenário dos cibercrimes. Antes uma família de malwares focada no roubo de dados financeiros, o Trickbot é agora uma ameaça mais sofisticada, que serve a diferentes tipos de atividades maliciosas.

0 Comentários:

Postar um comentário