TrickBot es una de las muchas ofertas de malware como servicio que permiten a los atacantes centrarse en infectar sistemas, mientras que en efecto externalizan el desarrollo y mantenimiento del malware que utilizan, generalmente a cambio de una tarifa de suscripción. Vamos a analizar aquí el troyano Trickbot, cómo funciona, qué síntomas provoca en los ordenadores infectados y cómo protegerse de él.
En este artículo hablamos de:
- ¿Qué es el virus Trickbot?
- ¿Por qué es tan peligroso este troyano?
- ¿Qué métodos emplea para inhabilitar Windows Defender?
- Síntomas de un ordenador infectado por el troyano Trickbot
- Trickbot, el malware que más se está aprovechando del Covid-19
- ¿Cómo protegerse del malware Trickbot?
- Qué hacer si estás infectado por TrickBot
- Últimas noticias y novedades
¿Qué es el virus Trickbot?
TrickBot es un tipo de malware bancario troyano diseñado para robar información financiera de los usuarios infectando ordenadores. Muchas de sus características fueron inspiradas por otro troyano bancario llamado Dyreza. TrickBot fue uno de los primeros programas maliciosos que pudo robar datos de las billeteras de Bitcoin.
Desde junio de 2019, se observa una relación cada vez más estrecha entre las infecciones iniciales de TrickBot y los eventuales ataques de ransomware Ryuk. Los autores de malware lanzan continuamente nuevos módulos y versiones de TrickBot para expandir y refinar sus capacidades.
TrickBot utiliza ataques de hombre en el navegador para robar información financiera, como credenciales de inicio de sesión para sesiones de banca en línea. Además, algunos de los módulos de TrickBot abusan del Protocolo de bloqueo de mensajes del servidor para propagar el malware lateralmente a través de una red.
TrickBot se difunde a través de campañas de malspam. Estas campañas envían correos electrónicos no solicitados que dirigen a los usuarios a descargar malware de sitios web maliciosos o engañan al usuario para que abra malware a través de un archivo adjunto.
Origen e historia
TrickBot se identificó inicialmente en 2016 atacando a instituciones financieras como bancos, divisiones de finanzas comerciales y asociados de tarjetas de crédito. Especializado en robar listas de correo electrónico y contraseñas de la computadora host para propagarse aún más a través de correos electrónicos no deseados compuestos por troyanos.
En 2019, se descubrió un nuevo módulo TrickBot llamado Cookie Grabber robando información de la base de datos de almacenamiento de cookies de los principales navegadores web, incluidos Chrome, Firefox y Microsoft Edge.
¿Por qué es tan peligroso este troyano?
TrickBot utiliza un enfoque modular para permitir a los atacantes agregar rápidamente funcionalidad al troyano base según sea necesario una vez que una máquina está infectada. Los atacantes aprovechan los módulos para agregar una variedad de funcionalidades y nuevos vectores de ataque.
Los módulos se descargan de un servidor de Comando y Control (C2) en la máquina infectada en forma de archivos DLL y un archivo de configuración. Estos servidores C2 generalmente están alojados en enrutadores secuestrados y cambian constantemente a medida que las listas actualizadas de servidores C2 se envían a máquinas infectadas por TrickBot, lo que dificulta el uso de reglas de bloqueo de IP y otras técnicas de mitigación.
El marco modular de TrickBot permite cargas útiles personalizadas que cumplen los requisitos específicos de un ataque. Esto convierte a TrickBot en una herramienta peligrosa y adaptable para los atacantes, pero al mismo tiempo se mantiene relativamente sigilosa debido a que no se incluyen módulos innecesarios.
Dado que los módulos se pueden agregar a TrickBot después de la implementación, el tamaño de la carga útil se puede reducir drásticamente al incluir solo lo necesario para establecerse en el sistema y luego descargar módulos adicionales una vez que la máquina se ha infectado.
Los módulos para TrickBot están en continuo desarrollo, evolucionando TrickBot aún más. Gran parte de la atención de los medios que TrickBot ha recibido en el último año ha sido el resultado de investigadores de seguridad que descubrieron nuevos módulos y “tensiones” de TrickBot a un ritmo alarmante. Estos módulos están agregando funcionalidad y flexibilidad al malware, haciendo que TrickBot sea aún más peligroso de lo que ya es.
¿Qué métodos emplea para inhabilitar Windows Defender?
Una vez que la parte base de TrickBot infecta un ordenador, descargará los módulos necesarios para llevar a cabo una variedad de ataques.
Este módulo descargado permite que TrickBot se adapte rápidamente al entorno y realice muchos ataques difíciles de prevenir. Un informe muestra que TrickBot puede extraer las credenciales de inicio de sesión de acceso remoto y proporcionar al grupo criminal acceso manual.
Otro incidente describe el comportamiento de piratear una aplicación de correo electrónico para enviar correos electrónicos infectados con malware a todas las direcciones de la lista de contactos para realizar ataques masivos indirectos.
TrickBot puede extenderse rápidamente a toda la red utilizando muchos métodos, pero también puede ocultar su actividad a los usuarios. Prevenir la infección se vuelve extremadamente crucial para manejar este tipo de malware.
Trickbot es uno de los troyanos más peligrosos en la naturaleza en este momento. Tiene varios trucos sigilosos en función de cómo se dirige a Windows 10.
Trickbot viene con un conjunto de habilidades específicas que se dirigen a los usuarios de Windows 10 que dependen de Windows Defender para proteger sus máquinas de las amenazas de malware, y hay muchas de ellas. Más de la mitad de la base de usuarios confía en Windows Defender para la protección del sistema.
Esta solución de seguridad integrada y nativa crece en fuerza cada día. Pero incluso esta línea de defensa confiable ha sido violada por las nuevas versiones de Trickbot.
Este virus es tan sofisticado que no solo detecta Windows Defender, sino que se descubrió que emplea al menos 17 pasos en su intento de incapacitarlo por completo. Estos incluyen:
- deshabilitar y eliminar el servicio WinDefend,
- finalizar los procesos asociados con Windows Defender,
- detener su protección en tiempo real,
- desactivar las notificaciones de seguridad y
- agregar una política para deshabilitar automáticamente los componentes de Windows Defender.
Síntomas de un ordenador infectado por el troyano Trickbot
Un ordenador infectado por TrickBot generalmente no muestra ningún síntoma notable por el usuario. Para revelar las actividades de TrickBot, un administrador de red puede ver los intentos de acceso que intentan descargar módulos desde un servidor remoto.
Si TrickBot puede descargar con éxito los módulos al ordenador infectado, atacará estratégicamente el entorno según las circunstancias. Existe una variedad de módulos dañinos descubiertos por expertos en seguridad.
La siguiente lista describe algunos comportamientos de TrickBot usando los módulos:
- Robar credenciales de inicio de sesión de la computadora host infectada
- Robar credenciales de autorización de aplicaciones de escritorio remoto
- Hackear contraseñas de cuenta en línea, cookies, ver historiales
- Recopilar información de inicio de sesión de la cuenta bancaria y datos confiables relacionados con las finanzas
- Sistema de gestión de información Attack POS (Punto de ventas)
- Invalidar Windows Defender para disminuir la seguridad informática.
TrickBot también es capaz de extenderse a través de la red para infectar otros ordenadores, así como para reinfectar los ordenadores en cuarentena una vez que el dispositivo se conecta a la red. Para eliminar la infección TrickBot, todos y cada uno de los ordenadores con acceso a la red deben aislarse mientras se escanean y limpian uno por uno.
Recientemente se descubrió una nueva función del módulo TrickBot llamada TrickBooster. TrickBooster está diseñado para enviar correos electrónicos maliciosos desde el ordenador infectado mientras elimina cualquier rastro del correo electrónico haciendo que su actividad sea más difícil de detectar.
El componente TrickBooster en sí mismo puede evitar la detección al obtener un certificado falso. Aunque la primera actividad de TrickBooster fue descubierta por expertos en seguridad en junio de 2019, el certificado descubierto fue revocado en una semana. Esto muestra lo difícil que es localizar a TrickBooster.
Trickbot, el malware que más se está aprovechando del Covid-19
El malware Trickbot está a la vanguardia de los intentos de usar la actual crisis de coronavirus para engañar a los usuarios de ordenadores para que descarguen malware en sus dispositivos.
Se han enviado cientos de correos electrónicos que pretendían relacionarse con el asesoramiento y las pruebas médicas de COVID-19, cada uno con el objetivo de instalar el malware Trickbot a través de archivos adjuntos de documentos maliciosos únicos “macro-laced” dentro del mensaje.
Trickbot, una de las familias de malware más notorias que existen, comenzó su vida como un troyano bancario, pero se ha rediseñado para convertirse en una de las formas más avanzadas y capaces de entregar malware en la actualidad.
Esto incluye la entrega de keyloggers, troyanos y ransomware en ordenadores comprometidos, así como la capacidad de mantener la persistencia en las máquinas infectadas. También puede permitir a los piratas informáticos moverse por las redes infectadas a través de la vulnerabilidad EternalBlue, así como operar con capacidades similares a las de una botnet para ayudar a promover la propagación de infecciones.
Los últimos ataques de Trickbot vienen en forma de correos electrónicos de phishing que dicen ser de grupos voluntarios y humanitarios que ofrecen pruebas COVID-19. Afirman que la víctima puede obtener más información sobre esto descargando un documento adjunto, que en este caso es un ladrón de información.
A medida que continúa la pandemia de coronavirus, los ciberdelincuentes y las operaciones de piratería patrocinadas por el estado han recurrido cada vez más a usarlo como un reclamo para infiltrarse en redes o para robar información personal o detalles bancarios de usuarios individuales, especialmente porque el aumento en el trabajo remoto potencialmente ha dejado a las personas más abiertas a ataques.
¿Cómo protegerse del malware Trickbot?
La lucha contra el malware es siempre una lucha importante, especialmente para los usuarios avanzados que pasan sus días en línea y las empresas que se mantienen conectadas con el mundo.
Pero el factor más importante es saber con qué tipo de amenaza te enfrentas. Solo entonces vienen los próximos pasos de las acciones preventivas. Para la mayoría de los usuarios, seguir las mejores prácticas generales de seguridad es el mejor lugar para comenzar. Un buen programa anti-malware actualizado te ayudará.
Aquí tienes unos consejos para protegerte del malware Trickbot:
TrickBot infecta los ordenadores al componerse en un correo electrónico fraudulento. Debes conocer los fundamentos de la ingeniería social para reconocer los mensajes de correos electrónicos maliciosos y evitar ser engañado por los ataques de phishing.
Aplicar nivel mínimo de acceso a la red
Limitar los niveles de acceso a la red de los usuarios de ordenadores reducirá el riesgo de infectar aún más otros ordenadores. Configurar un firewall que bloquea el acceso no autorizado a la red también puede defender a TrickBot de equipar módulos a través de la red.
Instalar software antimalware
El software antimalware puede proporcionar una protección integral para detectar comportamientos anormales. Algunas funciones analizarán correos electrónicos y enlaces web maliciosos para evitar que los usuarios accedan sin precaución. Los archivos troyanos también pueden ser escaneados por antimalware antes de ejecutarse para prevenir infecciones.
Para usuarios que solo usan Windows Defender
AppLocker es algo que viene con Windows 10, pero el usuario desconoce por completo el potencial de esta característica. Básicamente te permite controlar qué aplicaciones y archivos pueden ejecutarse en tu sistema, y estos incluyen archivos ejecutables, bibliotecas de enlaces dinámicos, aplicaciones empaquetadas, instaladores de aplicaciones empaquetadas, archivos de instalador de Windows e incluso scripts.
Esencialmente, con AppLocker, puedes permitir que solo se ejecute software autorizado en tu PC. A pesar de eso, sigue siendo una característica muy potente pero poco utilizada del sistema operativo.
La función de protección contra manipulaciones de Windows se usa para bloquear los intentos de modificar la configuración de Windows Defender a través del registro. Trickbot realmente no omite la Protección contra manipulaciones en Windows 10, por lo que siempre que esta función esté activada de forma predeterminada en tu sistema, evitarás que Windows Defender se deshabilite por este molesto malware.
Qué hacer si estás infectado por TrickBot
Una vez que tu ordenador ha sido infectado por Trickbot, esto es lo que debes hacer:
Aislar el ordenador infectado de la red
Una vez que TrickBot infecta un ordenador, intenta descargar módulos a través de la red para atacar estratégicamente el entorno. Para evitar más descargas de módulos y ataques a otros dispositivos a través de la red, es importante desconectar la máquina infectada tanto de Internet como de la red LAN.
Eliminar con software antivirus
Si crees que tu ordenador se infectó con TrickBot, intenta exterminar ejecutando un software antivirus. Asegúrate de que el software antivirus esté actualizado para que se descubra el último módulo.
En cuanto a las organizaciones, el software antivirus debe instalarse no solo en los ordenadores que están conectados a Internet sino también en todos los dispositivos conectados a la red LAN. Esto se debe al comportamiento TrickBot de infectar otros ordenadores que están conectados a través de la red interna.
Recuperación del sistema operativo
Si se realiza una copia de seguridad de todos los datos importantes en un almacenamiento externo no infectado, eliminar el disco duro y realizar la recuperación del sistema operativo es una opción. Debido a que la reinstalación del sistema operativo limpiará completamente el sistema informático, es una forma muy efectiva de eliminar cualquier tipo de malware.
Después de limpiar el ordenador, ten cuidado de volver a infectarse a través de otros ordenadores infectados a través de la red. Instala un software antivirus antes de conectarte a la red y verifica que todas los otros ordenadores en la red también estén limpios.
Últimas noticias y novedades
Trickbot ha evolucionado recientemente para realizar un nuevo comportamiento malicioso en un módulo llamado “Nworm“. Se trata de un método más fuerte para evadir la detección.
Las infecciones causadas por Nworm no dejan artefactos en un controlador de dominio (DC) infectado, y desaparecen después de un reinicio o apagado. Trickbot también se ha asociado con ingenieros de ransomware como Ryuk para obtener acceso a redes comprometidas.
El Nworm de Trickbot evolucionó y reemplazó a Mworm, la técnica de propagación del malware que se vio por primera vez en septiembre de 2019. Su rápida evolución es posible debido a la naturaleza modular del malware, que permite a sus autores agregar o quitar capacidades fácilmente.
El nuevo módulo, Nworm, fue descubierto por investigadores en abril de 2020, lo que significa que Trickbot dejó de usar el módulo Mworm. Este nuevo módulo encripta el ejecutable Trickbot y lanza la infección en el controlador de dominio en la memoria. El malware, sin embargo, no sobrevive al reinicio del controlador de dominio.
Afortunadamente para los actores de amenazas, los controladores de dominio rara vez se reinician, lo que permite que Nworm permanezca en el sistema sin ser detectado. Esto finalmente permite a los atacantes completar sus tareas y objetivos.