Foi descoberta uma nova amostra do TrickBot que verifica a resolução da tela das máquinas da vítima para verificar se o malware está sendo executado dentro de uma máquina virtual.
Para se proteger e seus sistemas ao analisar malware, os pesquisadores de segurança costumam fazer isso em uma máquina virtual. Como resultado disso, o malware geralmente emprega técnicas anti-VM para detectar se está sendo executado ou não em uma máquina virtual.
As técnicas anti-VM usadas pelo malware incluem a procura de processos específicos, serviços do Windows, nomes de máquinas e verificação de endereços MAC da placa de rede ou recursos da CPU.
Se o malware detectar que realmente está sendo executado em uma máquina virtual, interromperá suas operações para evitar dar aos pesquisadores mais pistas sobre como ele funciona e quem o implantou em primeiro lugar.
TrickBot e a Resolução da tela
Maciej Kotowicz, da empresa de segurança cibernética MalwareLab, encontrou uma nova amostra do Trojan TrickBot que verifica a resolução de tela de um computador infectado para determinar se é uma máquina virtual.
O TrickBot originalmente começou como um cavalo de Troia bancário, mas o malware evoluiu para executar outro comportamento malicioso, incluindo a disseminação lateral através de uma rede, o roubo de credenciais salvas nos navegadores, o roubo de cookies e muito mais.
Kotowicz tornou sua descoberta pública em um Tweet, no qual revelou que uma nova amostra do TrickBot está verificando máquinas infectadas para ver se elas têm uma resolução de 800×600 ou 1024×768. Se qualquer uma dessas resoluções for encontrada, o TrickBot irá parar de executar.
O motivo pelo qual o malware está verificando essas duas resoluções, em particular, deve-se à maneira como os pesquisadores configuram as máquinas virtuais usadas para analisar o malware. Ao configurar uma máquina virtual, a maioria dos pesquisadores não instala o software convidado da VM que lhes permite usar resoluções mais altas. Sem esse software instalado, uma máquina virtual geralmente não permite outras resoluções além de 800×600 e 1024×768.
Embora seja uma pena para os pesquisadores que estudam malware, essa nova verificação anti-VM é realmente bastante inteligente e, esperançosamente, outros desenvolvedores de malware não seguem o exemplo e adicionam esse recurso ao seu software malicioso.
Saiba mais sobre o TrickBot em nosso setor especializado em segurança digital.