¿Que es TrickBot?
Trickbot (también conocido como Trickster, TheTrick o TrickLoader) es un botnet asociada al grupo WIZARD SPIDER, eh históricamente una de las operaciones más grandes y exitosas hasta la fecha. Comenzó a operar en 2015 después de que miembros de la banda de malware Dyre se dispersaran luego de una serie de arrestos de alto perfil que paralizaron la estructura de liderazgo del grupo.
En su historia temprana, Trickbot funcionó como un troyano bancario clásico que infectaba computadoras y luego manipulaba los navegadores de los usuarios para descargar y robar credenciales, y luego mostrar «inyecciones web» que permitían a la pandilla recopilar credenciales de banca electrónica e interactuar con e- cuentas bancarias en tiempo real.
Sin embargo, a medida que los bancos comenzaron a implementar funciones de seguridad que dificultaron la vida de los troyanos bancarios, alrededor de 2017, la banda Trickbot siguió a otros grupos de malware que estaban activos en ese momento y convirtió su troyano bancario en una cepa de malware más simple y ágil. Conocido como un cargador (de abajo del cargador ) o un gotero, Trickbot continuaría infectar a las víctimas con la ayuda de spam de correo electrónico, pero una vez que infecta un anfitrión, su propósito principal sería la de descargar e instalar otros malware.
De esta forma, a lo largo de los años, la pandilla Trickbot construyó una botnet gigante a la que vendían acceso a otros grupos criminales. Conocido como Crimeware-as-a-Service, los operadores de Trickbot permitieron a los clientes implementar su propio malware o crearon módulos especializados que los clientes podían implementar para tareas específicas.
Características de TrickBot
- Recolecta información del sistema, usuarios y la red interna.
- Desactiva el Antivirus.
- Despliega inyecciones web y redirecciones fraudulentas.
- Roba credenciales de acceso de clientes de correo electrónico.
- Roba credenciales de aplicaciones de escritorio remoto y credenciales almacenadas en el navegador.
- Desarrolla constantemente nuevas funcionalidades.
- Posee técnicas de evasión y persistencia vía tareas programadas.
- Puede descargar e instalar otras amenazas en el equipo que infecta.
- Utiliza Emotet para descargarse y luego propagarse vía correo electrónico y/o SMB.
Distribución de TrickBot
Trickbot se distribuye a través de campañas de spam que llaman a la acción y que contienen adjuntos o enlaces para la descarga del ejecutable que realiza la instalación.
Trickbot es conocido además por utilizar la infraestructura de Emotet y a su vez, disponer de su propia infraestructura para instalar amenazas de terceros, IaaS.
La secuencia a continuación corresponde el flujo de infección desde un enlace malicioso, que realizara la descarga de un archivo .doc con el código Powershell incrustado que realizara la descarga e instalación de Trickbot.
Desde los inicios de la distribución en el año 2016, Trickbot ha usado diferentes técnicas de ingeniería social y publicidad mal intencionada para que los usuarios descarguen un archivo ejecutable. Principalmente en archivos EXE, MSI, PNG y documentos de ofimática Office.
A continuación, se muestra 2 campañas para expandir Trickbot mediante la necesidad de «Actualizar tu navegador» para entrar al sitio de Office.
Flujo de Infección
El siguiente diagrama representa como es el flujo de infección de Trickbot vía Emotet y con la inyección final de Ryuk ransomware.
Lo que se conoce como la triple-amenaza: EMOTET -> TRICKBOT -> RYUK
Objetivos Geográficos de Trickbot
Según reportes oficiales, Trickbot ha estado presente en múltiples países desde su fecha de descubrimiento. Entre los que están Estados Unidos, China, Brasil, Rumanía, Malasia, Ucrania, Zambia y la India entre muchos otros.
Recomendaciones de seguridad
- Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
- Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
- No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
- No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
- Manténgase informado de las últimas amenazas y riesgos en Internet.
- Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
- Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
Vía: Cronup