Alerta: Trojan bancário consegue desabilitar o Windows Defender via e-mail

Por Rafael Arbulu | 01 de Agosto de 2019 às 12h12
Gemalto

Apesar de já existir há um tempo, o trojan bancário Trickbot constantemente passa por atualizações e evoluções: em sua última leva de novidades maliciosas, a praga virtual agora consegue empregar novas táticas para evitar ser detectada, incluindo desabilitar remotamente o Windows Defender em máquinas equipadas com Windows 10.

Normalmente, o Trickbot é veiculado por meio de campanhas por e-mail, geralmente com arquivos falsos de Excel ou Word anexados. Uma vez abertos, eles direcionam o usuário a uma página falsa do Microsoft Office, urgindo por uma “atualização de segurança” que, na verdade, inicia o download e execução automática do malware. O objetivo principal de quem o usa é roubar credenciais bancárias e outras informações pessoais.

Já era sabido que o Trickbot desabilita e deleta o serviço WinDefend, fecha processos de sistema associados ao Windows Defender, desabilita a proteção em tempo real do mecanismo de defesa e desliga notificações de segurança. Esses cinco passos já são previstos e, apenas com eles, cerca de 250 milhões de contas de e-mail foram comprometidas.

Trojan Trickbot ainda causa dores de cabeça a usuários do Windows 10: malware busca roubar informações bancárias e consegue desabilitar o Windows Defender para evitar detecção

A novidade, porém, são nada menos que doze novos processos que atuam diretamente no sistema. Segundo o pesquisador Vitali Kremez e o Malware Hunter Team, que fizeram a engenharia reversa de uma versão recente do malware, “esses novos métodos utilizam edições nos arquivos de registro de sistema ou o comando ‘Set-MpPreference Powershell’ para ajustar as preferências de funcionamento do Windows Defender”.

Segundo o hacker ativista John Opdenakker, algumas ações podem auxiliar na defesa do usuário contra o Trickbot: a primeira coisa é assegurar que qualquer usuário do Windows 10 na máquina não tenham direitos de administrador por padrão, além de recomendar que seja fechado o acesso à edição de arquivos de registro de sistema. Opdenakker ressalta, porém, que essas soluções são paliativas e, segundo ele, “dependem muito do quão avançada é a versão do Trickbot atacando a máquina”. O hacker ainda indica que o trojan executa comandos de autoelevação de direitos, tentando obter capacidades administrativas assim que é executado.

O Windows AppLocker pode servir como mecanismo de defesa contra o Trickbot

O uso da ferramenta AppLocker também pode ser de grande ajuda aqui: incluído por padrão no Windows 10, o recurso auxilia no controle de quais aplicações e arquivos um usuário poderá executar. Isso inclui arquivos executáveis, scripts, instaladores do Windows, arquivos DLL, aplicações de pacote e seus instaladores.

A Microsoft emitiu à Forbes um comunicado, assegurando que a versão mais recente do Windows Defender já protege o usuário contra o Trickbot e informando que usuários que tenham feito a devida atualização ou que possuam a atualização automática ativada em suas máquinas não terão problemas.

Fonte: Forbes

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.