Crescimento alarmante na atividade do TrueBot revelado com novos vetores de entrega
5 de Junho de 2023

Uma onda de atividade do TrueBot foi observada em maio de 2023, divulgaram pesquisadores de segurança cibernética.

"O TrueBot é um botnet de trojan downloader que usa servidores de comando e controle para coletar informações sobre sistemas comprometidos e usa esse sistema comprometido como ponto de lançamento para ataques adicionais", disse Fae Carlisle, da VMware.

Ativo desde pelo menos 2017, o TrueBot está vinculado a um grupo conhecido como Silence, que se acredita compartilhar sobreposições com o notório ator de crimes cibernéticos russo conhecido como Evil Corp.

As infecções recentes do TrueBot aproveitaram uma falha crítica no auditor Netwrix ( CVE-2022-31199 , pontuação CVSS: 9,8) e o Raspberry Robin como vetores de entrega.

Por outro lado, a cadeia de ataque documentada pela VMware começa com um download acidental de um executável chamado "update.exe" do Google Chrome, sugerindo que os usuários são atraídos para baixar o malware sob o pretexto de uma atualização de software.

Uma vez executado, o update.exe estabelece conexões com um endereço IP TrueBot conhecido localizado na Rússia para recuperar um executável de segunda fase ("3ujwy2rz7v.exe") que é posteriormente lançado usando o Prompt de Comando do Windows.

O executável, por sua vez, se conecta a um domínio de comando e controle (C2) e exfiltra informações confidenciais do host.

Ele também é capaz de enumeração de processos e sistemas.

"O TrueBot pode ser uma infecção particularmente desagradável para qualquer rede", disse Carlisle.

"Quando uma organização é infectada por esse malware, ela pode rapidamente se transformar em uma infecção maior, semelhante à forma como o ransomware se espalha por toda a rede."

As descobertas surgem quando a SonicWall detalhou uma nova variante de outro malware downloader conhecido como GuLoader (também conhecido como CloudEyE) que é usado para fornecer uma ampla gama de malware, como Agent Tesla, Azorult e Remcos.

"Na última variante do GuLoader, ele introduz novas maneiras de causar exceções que prejudicam o processo de análise completa e sua execução em ambiente controlado", disse a SonicWall.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...