¿Qué es el malware TrickBot?
TrickBot (o "TrickLoader") es un reconocido troyano bancario que se dirige tanto a empresas como a consumidores para obtener sus datos, como información bancaria, credenciales de cuentas, información de identificación personal (PII) e incluso bitcoins. Como malware altamente modular, puede adaptarse a cualquier entorno o red en la que se encuentre.
Los numerosos trucos que ha realizado este troyano desde su descubrimiento en 2016 se atribuyen a la creatividad y agilidad de sus desarrolladores. Además de robar, a TrickBot se le ha dotado de capacidades para moverse lateralmente y afianzarse dentro de una red afectada mediante exploits, propagar copias de sí mismo a través de recursos compartidos de bloque de mensajes de servidor (SMB), soltar otro malware como el ransomware Ryuk y buscar documentos y archivos multimedia en máquinas host infectadas.
¿Cómo se propaga TrickBot?
Al igual que Emotet, TrickBot llega a los sistemas afectados en forma de URL incrustadas o archivos adjuntos infectados en campañas de spam malicioso(malspam).
Una vez ejecutado, TrickBot se propaga lateralmente dentro de la red explotando la vulnerabilidad SMB mediante uno de los tres exploits de la NSA ampliamente conocidos: EternalBlue, EternalRomance o EternalChampion.
Emotet también puede soltar TrickBot como parte de una infección secundaria.
¿Cuál es la historia de TrickBot?
TrickBot comenzó como un ladrón de información bancaria, pero nada es sencillo, ni siquiera desde el principio.
Cuando los investigadores de Malwarebytes descubrieron TrickBot en 2016, ya presumía de atributos que normalmente no se ven en los "simples" ladrones de credenciales. Inicialmente, su objetivo eran los servicios financieros y los usuarios de datos bancarios. También deja caer otro malware.
TrickBot tiene la reputación de ser el sucesor de Dyreza, otro ladrón de credenciales que apareció por primera vez en 2014. TrickBot comparte similitudes con Dyreza, como ciertas variables con valores similares y la forma en que los creadores de TrickBot configuran los servidores de comando y control (C&C ) con los que se comunica. Esto ha llevado a muchos investigadores a creer que la persona o grupo que creó Dyreza también creó TrickBot.
En 2017, los desarrolladores incluyeron un módulo de gusano en TrickBot, que creemos que se inspiró en exitosas campañas de ransomware con capacidades similares a las de un gusano, como WannaCry y EternalPetya. Los desarrolladores también añadieron un módulo para cosechar credenciales de Outlook. ¿Por qué Outlook? Bueno, cientos de organizaciones y millones de individuos en todo el mundo suelen utilizar este servicio de correo web. El abanico de datos que roba TrickBot también se amplió: cookies, historial de navegación, URLs visitadas, Flash LSO (Local Shared Objects), y muchos más.
Aunque estos módulos eran nuevos en aquel momento, no estaban bien codificados.
En 2018, TrickBot continuó explotando la vulnerabilidad SMB. También estaba equipado con el módulo que desactiva la monitorización en tiempo real de Windows Defender mediante un comando de PowerShell. Aunque también había actualizado su algoritmo de cifrado, el resto de la función de su módulo seguía siendo la misma. Los desarrolladores de TrickBot también empezaron a proteger su código para que no fuera desmontado por los investigadores de seguridad mediante la incorporación de elementos de ofuscación.
A finales de año, TrickBot se clasificó como la principal amenaza contra las empresas, superando a Emotet.
Los desarrolladores de TrickBot volvieron a realizar algunos cambios en el troyano en 2019. Específicamente, hicieron cambios en la forma en que la función webinject funciona contra los operadores móviles con sede en Estados Unidos, Sprint, Verizon Wireless y T-Mobile.
Recientemente, los investigadores han observado una mejora en el método de evasión de este troyano . Mworm, el módulo responsable de propagar una copia de sí mismo, fue sustituido por un nuevo módulo llamado Nworm. Este nuevo módulo altera el tráfico HTTP de TrickBot, permitiéndole ejecutarse desde la memoria tras infectar un controlador de dominio. Esto asegura que TrickBot no deje ningún rastro de infección en las máquinas afectadas.
¿A quién se dirige Trickbot?
Al principio, cualquiera parecía ser objetivo de TrickBot. Pero en los últimos años, sus objetivos parecen haberse vuelto más específicos, como los usuarios de Outlook o T-Mobile. A veces, TrickBot se disfraza de spam relacionado con los impuestos durante la temporada de la declaración de la renta.
En 2019, investigadores de DeepInstinct encontraron un repositorio de direcciones de correo electrónico cosechadas y/o credenciales de mensajería de millones de usuarios. Estas pertenecen a usuarios de Gmail, Hotmail, Yahoo, AOL y MSN.
¿Cómo puedo protegerme de TrickBot?
Aprender cómo funciona TrickBot es el primer paso para saber cómo las organizaciones y los consumidores pueden protegerse de él. He aquí otras cosas a las que prestar atención:
- Busque posibles indicadores de compromiso (IOC) ejecutando herramientas específicamente diseñadas para ello, como Farbar Recovery Scan Tool (FRST). De este modo se identificarán los equipos infectados de la red.
- Una vez identificados los equipos, aísle los equipos infectados de la red.
- Descargue y aplique los parches que solucionan las vulnerabilidades que aprovecha TrickBot.
- Desactivar las acciones administrativas.
- Cambie todas las contraseñas de administrador locales y de dominio.
- Protéjase de una infección por TrickBot utilizando un programa de ciberseguridad que disponga de protección multicapa. Los productospara empresas y consumidores de primera calidad de Malwarebytes detectan y bloquean TrickBot en tiempo real.
¿Cómo puedo eliminar TrickBot?
TrickBot no es perfecto y, como hemos visto, sus desarrolladores pueden ser descuidados en ocasiones. Y lo que es más importante, puede eliminarse. Las soluciones empresariales deMalwarebytes pueden facilitar parte del trabajo duro aislando los sistemas afectados, reparándolos y protegiéndolos de futuras infecciones de TrickBot y otras desagradables cepas de malware.