Módulos sob demanda do malware miram credenciais de clientes de cerca de 60 marcas de alto perfil, com JavaScript ofuscado, validações contra pesquisa automatizada e coleta de dados em navegadores e memória do sistema.
| Componente | Família Trickbot e módulos injectDll, tabDll e pwgrabc, usados para injeção em navegador, coleta de credenciais, propagação por compartilhamento SMBv1 e roubo de senhas de aplicações. |
| Vetor | Infecção prévia pelo Trickbot, seguida de download e execução sob demanda de módulos; o injectDll ativa injeções quando a vítima acessa páginas específicas de serviços financeiros, criptomoedas, tecnologia ou portais de login visados. |
| Impacto | Coleta de credenciais e dados de formulários, captura de ações de login, envio de material para C2 e possibilidade de propagação interna via exploração do SMBv1 pelo módulo tabDll. |
| Prioridade | Caçar sinais de módulos Trickbot em endpoints e navegadores, bloquear comunicações C2 defangadas, revisar acessos a portais sensíveis e corrigir ou desativar SMBv1 onde ainda existir. |
| Artefatos | JavaScript minificado e ofuscado, segundo estágio disfarçado como arquivo jquery-3.5.1.min.js, cadeias criptografadas com RC4, payloads de credenciais protegidos por XOR e dependência de cabeçalho Referer para obter web-injects válidos. |
| Alvos | Clientes de aproximadamente 60 empresas de alto perfil dos setores financeiro, criptomoedas e tecnologia, com concentração maior nos Estados Unidos; as marcas aparecem como portais usados para selecionar vítimas, não como vítimas confirmadas. |
O Trickbot aparece como uma plataforma modular de malware, não como um binário único com comportamento fixo. A operação descrita envolve mais de 20 módulos que podem ser baixados e executados conforme o interesse do operador, permitindo adaptar a atividade ao ambiente infectado. Entre os módulos analisados, injectDll, tabDll e pwgrabc concentram funções relevantes para roubo de credenciais, manipulação de sessões em navegador, coleta de senhas de aplicações e propagação por compartilhamentos de rede legados. Essa arquitetura reduz exposição desnecessária de capacidades e permite que a botnet entregue apenas o componente necessário para determinado alvo.
A campanha mira clientes de cerca de 60 empresas de alto perfil nos segmentos financeiro, criptomoedas e tecnologia, principalmente nos Estados Unidos. A distinção é importante: as empresas aparecem como serviços e marcas cujos portais são usados para selecionar fluxos de login e páginas sensíveis, enquanto os clientes desses serviços são os alvos finais da coleta. A técnica principal do injectDll é a injeção de JavaScript em páginas específicas, com carregamento de um segundo estágio somente quando a navegação da vítima corresponde ao alvo esperado. Isso torna a atividade mais seletiva e diminui a chance de revelar servidores de comando e controle durante navegação comum ou análise superficial.
O módulo injectDll realiza injeção de dados no navegador por meio de configurações de web-inject semelhantes a formatos historicamente associados a famílias bancárias. Antes da derrubada parcial da infraestrutura em outubro de 2020, a configuração do módulo incluía tipos de configuração como sinj e dinj, posicionados ao final do componente. O primeiro estágio injetado contém JavaScript reduzido e ofuscado, com lógica de antideobfuscação baseada na representação textual de funções e comparação com expressões regulares embutidas. Quando ferramentas de formatação ou deobfuscação alteram a aparência do código, a verificação deixa de corresponder ao padrão esperado e o fluxo pode parar de funcionar ou provocar falha no processo da aba do navegador.
Quando as validações passam, o script monta o endereço do segundo estágio usando o identificador do bot e constantes decodificadas. O recurso remoto foi apresentado como se fosse uma biblioteca legítima, com nome semelhante a jquery-3.5.1.min.js, mas o conteúdo real era um web-inject mais pesado. O servidor C2 também aplicava controles contra coleta automatizada: requisições para endpoints inexistentes podiam resultar em bloqueio temporário do IP externo do pesquisador, e a ausência do cabeçalho Referer impedia a entrega de um web-inject válido. Para defesa, isso mostra que ausência de resposta do C2 em laboratório não deve ser interpretada como infraestrutura inativa, pois o servidor pode estar validando contexto de navegação e origem da requisição.
O segundo estágio é carregado apenas em páginas alvo, como portais de comércio, bancos ou serviços de criptomoedas. Em um exemplo envolvendo uma página legítima de autenticação, o script observava a ação de login e coletava campos de e-mail e senha antes de enviar os dados para outro servidor C2. As strings internas eram decifradas com RC4, enquanto o material de credencial era preparado em formato codificado e protegido por uma operação XOR antes do envio. O detalhe defensivo relevante é que a telemetria pode mostrar JavaScript anômalo em páginas legítimas, captura de eventos de teclado e submissão de formulário, além de comunicações subsequentes para infraestrutura externa não relacionada ao domínio do serviço acessado.
A superfície exposta começa no endpoint já infectado pelo Trickbot e se amplia conforme módulos adicionais são carregados. Navegadores usados para acessar portais financeiros, ambientes de criptomoedas, contas de tecnologia e painéis de comércio eletrônico ficam em risco quando a injeção é ativada. O ataque não depende de comprometimento do site legítimo visitado; a manipulação ocorre no lado da vítima, dentro do contexto do navegador infectado. Por isso, controles tradicionais focados apenas na reputação do domínio visitado podem não enxergar o desvio, já que o usuário realmente acessa um serviço legítimo enquanto código local malicioso coleta ou altera dados.
O módulo tabDll amplia o risco para credenciais do sistema e propagação em rede. A descrição indica coleta em múltiplas etapas, envio das credenciais ao C2 e uso do exploit EternalRomance para se espalhar por compartilhamentos SMBv1. O mesmo conjunto também foi associado a uma ação sobre explorer.exe infectado que força o usuário a inserir credenciais em uma aplicação e depois bloqueia a sessão, além de coleta de credenciais da memória do LSASS com técnica associada ao Mimikatz. O módulo pwgrabc, por sua vez, atua como coletor de senhas para várias aplicações, o que amplia o impacto para navegadores, clientes e softwares que armazenam material de autenticação localmente.
- Endpoints Windows com execução do Trickbot e capacidade de carregar módulos adicionais sob demanda.
- Navegadores usados para autenticação em serviços financeiros, criptomoedas, tecnologia e portais de comércio eletrônico.
- Ambientes que ainda expõem SMBv1 ou compartilhamentos legados alcançáveis a partir de uma máquina infectada.
- Sistemas em que credenciais permanecem acessíveis na memória de processos ou em armazenamentos locais de aplicações.
A investigação deve combinar sinais de endpoint, navegador, rede e identidade. No endpoint, a prioridade é identificar processos de navegador com comportamento incomum, módulos injetados, criação de threads remotas, acesso suspeito à memória do LSASS e execução de componentes associados ao Trickbot a partir de diretórios de usuário ou locais temporários. Eventos envolvendo explorer.exe também merecem atenção quando acompanhados por solicitações inesperadas de credenciais, bloqueio de sessão ou alterações na experiência de login. Como os operadores usam módulos sob demanda, a falta de um componente em uma amostra não elimina risco em outro host da mesma intrusão.
Na rede, a defesa deve procurar carregamento de JavaScript externo a partir de páginas legítimas acessadas pelo usuário, especialmente quando o recurso remoto se apresenta como biblioteca comum e não pertence ao domínio visitado. Um exemplo de indicador descrito envolve domínio C2 defangado myca[.]adprimblox[.]fun e caminho final parecido com jquery-3.5.1.min.js; esse exemplo deve ser tratado como amostra histórica, não como lista completa de infraestrutura. Também são sinais relevantes requisições com dependência de Referer, respostas diferentes conforme o endpoint solicitado e padrões de bloqueio que dificultam sondagem automatizada. Em proxy, EDR e DNS, a correlação entre login em portal sensível e conexão imediata para domínio externo desconhecido é mais valiosa do que buscar apenas um nome de arquivo.
Na camada de identidade, vale revisar autenticações anômalas após sessões em máquinas potencialmente infectadas. Como a coleta pode capturar campos de formulário e teclas antes do envio ao serviço legítimo, MFA reduz impacto, mas não elimina totalmente risco quando há roubo de sessão, engenharia adicional ou tentativa posterior de abuso. Registros de alteração de senha, login por localização incomum, falhas repetidas após sucesso anterior, acesso a painéis financeiros e criação de chaves ou tokens devem ser correlacionados com a linha do tempo do host. Em ambientes com criptomoedas ou operações financeiras, a análise deve incluir transferências, mudanças de carteira, atualização de dados bancários e inclusão de dispositivos confiáveis.
- Processos de navegador carregando código ou DLLs anômalas durante acesso a portais de login sensíveis.
- Acesso suspeito à memória do
LSASS, coleta de credenciais e eventos compatíveis com técnica Mimikatz. - Tráfego para domínios externos após submissão de formulários em sites legítimos, com nomes de scripts que imitam bibliotecas conhecidas.
- Requisições HTTP dependentes de
Referere endpoints que respondem seletivamente conforme o caminho e o contexto da navegação. - Atividade SMBv1, tentativa de propagação por compartilhamentos de rede e uso de exploração associada ao EternalRomance.
A resposta deve começar pela contenção do endpoint infectado, porque a injeção ocorre no lado do usuário e pode continuar coletando dados mesmo quando o site legítimo está íntegro. Máquinas com sinais de Trickbot devem ser isoladas da rede, preservadas para análise forense quando necessário e removidas de sessões autenticadas em serviços sensíveis. A troca de senhas precisa priorizar contas usadas nos hosts afetados, especialmente credenciais financeiras, portais de criptomoedas, contas administrativas, serviços corporativos e aplicações que armazenam senhas localmente. Quando houver suspeita de captura de credenciais de formulário, a rotação deve ser acompanhada de invalidação de sessões, revisão de dispositivos confiáveis e reemissão de tokens.
Na rede interna, SMBv1 deve ser desativado onde possível e sistemas legados precisam ser segmentados para impedir propagação a partir de estáções comprometidas. A presença de exploração associada ao EternalRomance torna crítico revisar exposição de compartilhamentos, regras de firewall internas, patches do Windows e permissões excessivas. A defesa também deve endurecer o acesso ao LSASS, aplicar recursos de proteção de credenciais disponíveis no sistema operacional, limitar privilégios locais e reduzir reutilização de senhas entre estáções e serviços. O objetivo é quebrar a cadeia que transforma uma infecção inicial em coleta ampla de credenciais e movimentação por compartilhamentos.
Para reduzir risco de injeções em navegador, organizações devem combinar EDR com inspeção de comportamento, filtragem DNS, proxy com análise de destino e políticas de extensão e execução em navegador. Bloqueios baseados apenas em URL podem falhar porque o usuário está em um site legítimo enquanto o código malicioso injeta lógica local e aciona C2 externo. Controles de acesso condicional, MFA resistente a phishing quando disponível, detecção de anomalias em sessão e monitoramento de alterações críticas em contas tornam a reutilização de credenciais capturadas mais difícil. A validação final deve incluir caça retroativa nos logs, revisão de contas usadas nos hosts impactados e confirmação de que não há novos módulos Trickbot carregados sob demanda.
- Isolar endpoints com sinais de Trickbot e preservar artefatos relevantes para análise forense.
- Rotacionar credenciais usadas em máquinas afetadas e invalidar sessões, tokens e dispositivos confiáveis associados.
- Desativar SMBv1, aplicar correções em sistemas Windows e segmentar compartilhamentos legados inevitáveis.
- Monitorar acesso ao
LSASS, injeção em navegador, carregamento de DLLs suspeitas e tráfego C2 defangado. - Revisar eventos de identidade e transações sensíveis ocorridas após autenticações feitas em hosts potencialmente infectados.
0 Comentários