Uma onda de atividade do TrueBot foi observada em maio de 2023, divulgaram pesquisadores de segurança cibernética.
"O TrueBot é um botnet de trojan downloader que usa servidores de comando e controle para coletar informações sobre sistemas comprometidos e usa esse sistema comprometido como ponto de lançamento para ataques adicionais", disse Fae Carlisle, da VMware.
Ativo desde pelo menos 2017, o TrueBot está vinculado a um grupo conhecido como Silence, que se acredita compartilhar sobreposições com o notório ator de crimes cibernéticos russo conhecido como Evil Corp.
As infecções recentes do TrueBot aproveitaram uma falha crítica no auditor Netwrix (
CVE-2022-31199
, pontuação CVSS: 9,8) e o Raspberry Robin como vetores de entrega.
Por outro lado, a cadeia de ataque documentada pela VMware começa com um download acidental de um executável chamado "update.exe" do Google Chrome, sugerindo que os usuários são atraídos para baixar o malware sob o pretexto de uma atualização de software.
Uma vez executado, o update.exe estabelece conexões com um endereço IP TrueBot conhecido localizado na Rússia para recuperar um executável de segunda fase ("3ujwy2rz7v.exe") que é posteriormente lançado usando o Prompt de Comando do Windows.
O executável, por sua vez, se conecta a um domínio de comando e controle (C2) e exfiltra informações confidenciais do host.
Ele também é capaz de enumeração de processos e sistemas.
"O TrueBot pode ser uma infecção particularmente desagradável para qualquer rede", disse Carlisle.
"Quando uma organização é infectada por esse malware, ela pode rapidamente se transformar em uma infecção maior, semelhante à forma como o ransomware se espalha por toda a rede."
As descobertas surgem quando a SonicWall detalhou uma nova variante de outro malware downloader conhecido como GuLoader (também conhecido como CloudEyE) que é usado para fornecer uma ampla gama de malware, como Agent Tesla, Azorult e Remcos.
"Na última variante do GuLoader, ele introduz novas maneiras de causar exceções que prejudicam o processo de análise completa e sua execução em ambiente controlado", disse a SonicWall.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...