TOP Malware: TrickBot

¿Que es TrickBot?

Trickbot (también conocido como Trickster, TheTrick o TrickLoader) es un malware de tipo financiero asociado al grupo WIZARD SPIDER, que tiene como objetivo principal el robo de credenciales bancarias. También puede manipular el navegador del equipo infectado para redireccionar a la víctima a páginas web bancarias fraudulentas y la capacidad de evolucionar para cumplir otros trabajos de un troyano, como por ejemplo, la instalación posterior de Ryuk Ransomware. Con el tiempo, paso de ser un troyano bancario a una infraestructura como servicio para otros actores de amenazas.

Trickbot cuenta con un módulo de propagación basado en email conocido como TrickBooster, el que se ejecuta una vez que la amenaza se instala en el equipo enviando correos desde las cuentas comprometidas para luego eliminar los mensajes enviados tanto de la bandeja de salida, como de las carpetas de elementos enviados para evitar ser detectado. Trickbot se distribuye comúnmente en ataques de Spear Phishing y puede aprovechar también vulnerabilidades del protocolo SMB de Windows para propagarse rápidamente a otros computadores dentro de la red local.

Características de TrickBot

  • Recolecta información del sistema, usuarios y la red interna.
  • Desactiva el Antivirus.
  • Despliega inyecciones web y redirecciones fraudulentas.
  • Roba credenciales de acceso de clientes de correo electrónico.
  • Roba credenciales de aplicaciones de escritorio remoto y credenciales almacenadas en el navegador.
  • Desarrolla constantemente nuevas funcionalidades.
  • Posee técnicas de evasión y persistencia vía tareas programadas.
  • Puede descargar e instalar otras amenazas en el equipo que infecta.
  • Utiliza Emotet para descargarse y luego propagarse vía correo electrónico y/o SMB.

Distribución de TrickBot

Trickbot se distribuye a través de campañas de spam que llaman a la acción y que contienen adjuntos o enlaces para la descarga del ejecutable que realiza la instalación.

Trickbot es conocido además por utilizar la infraestructura de Emotet y a su vez, disponer de su propia infraestructura para instalar amenazas de terceros, IaaS.

La secuencia a continuación corresponde el flujo de infección desde un enlace malicioso, que realizara la descarga de un archivo .doc con el código Powershell incrustado que realizara la descarga e instalación de Trickbot.

Desde los inicios de la distribución en el año 2016, Trickbot ha usado diferentes técnicas de ingeniería social y publicidad mal intencionada para que los usuarios descarguen un archivo ejecutable. Principalmente en archivos EXE, MSI, PNG y documentos de ofimática Office.

A continuación, se muestra 2 campañas para expandir Trickbot mediante la necesidad de «Actualizar tu navegador» para entrar al sitio de Office.

Flujo de Infección

El siguiente diagrama representa como es el flujo de infección de Trickbot vía Emotet y con la inyección final de Ryuk ransomware.

Lo que se conoce como la triple-amenaza: EMOTET -> TRICKBOT -> RYUK

Objetivos Geográficos de Trickbot

Según reportes oficiales, Trickbot ha estado presente en múltiples países desde su fecha de descubrimiento. Entre los que están Estados Unidos, China, Brasil, Rumanía, Malasia, Ucrania, Zambia y la India entre muchos otros.

Recomendaciones de seguridad

  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
  • Manténgase informado de las últimas amenazas y riesgos en Internet.
  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).

Vía: Cronup

Related Posts