¿Qué es el malware TrickBot?
TrickBot (o "TrickLoader") es un troyano bancario reconocido que apunta tanto a empresas como a consumidores para obtener sus datos, como información bancaria, credenciales de cuentas, información personal identificable (PII) e incluso bitcoins. Como un malware altamente modular, puede adaptarse a cualquier entorno o red en el que se encuentre.
Los numerosos trucos que ha realizado este troyano desde su descubrimiento en 2016 se atribuyen a la creatividad y agilidad de sus desarrolladores. Además de robar, TrickBot ha sido equipado con la capacidad de moverse lateralmente y establecerse dentro de una red afectada usando exploits, propagarse a través de las comparticiones de Server Message Block (SMB), instalar otros malwares como Ryuk ransomware y buscar documentos y archivos multimedia en máquinas anfitrionas infectadas.
¿Cómo se propaga TrickBot?
Al igual que Emotet, TrickBot llega a los sistemas afectados en forma de URLs incrustadas o archivos adjuntos infectados en campañas de spam malicioso (malspam).
Una vez ejecutado, TrickBot se propaga lateralmente dentro de la red explotando la vulnerabilidad SMB usando cualquiera de los tres exploits de la NSA conocidos: EternalBlue, EternalRomance o EternalChampion.
Emotet también puede instalar TrickBot como parte de una infección secundaria.
¿Cuál es la historia de TrickBot?
TrickBot comenzó como un ladrón de información bancaria, pero nada es sencillo, incluso desde el principio.
Cuando los investigadores de Malwarebytes descubrieron inicialmente TrickBot en 2016, ya presumía de atributos que uno normalmente no ve en ladrones de credenciales "simples". Inicialmente, apuntó a los servicios financieros y a los usuarios para obtener datos bancarios. También instala otros malwares.
TrickBot tiene la reputación de ser el sucesor de Dyreza, otro ladrón de credenciales que apareció por primera vez en 2014. TrickBot compartía similitudes con Dyreza, como ciertas variables con valores similares y la forma en que los creadores de TrickBot configuraban los servidores de comando y control (C&C) con los que TrickBot se comunica. Esto ha llevado a muchos investigadores a creer que la persona o grupo que creó Dyreza también creó TrickBot.
En 2017, los desarrolladores incluyeron un módulo de gusano en TrickBot, que creemos fue inspirado por campañas de ransomware exitosas con capacidades similares a las de un gusano, como WannaCry y EternalPetya. Los desarrolladores también añadieron un módulo para recolectar credenciales de Outlook. ¿Por qué Outlook? Bueno, cientos de organizaciones y millones de individuos en todo el mundo generalmente usan este servicio de correo web. La variedad de datos que TrickBot roba también se amplió: cookies, historial de navegación, URLs visitadas, objetos compartidos de Flash (LSO) y muchos más.
Aunque estos módulos eran nuevos en ese momento, no estaban bien programados.
En 2018, TrickBot continuó explotando la vulnerabilidad SMB. También se equipó con el módulo que deshabilita el monitoreo en tiempo real de Windows Defender usando un comando de PowerShell. A pesar de haber actualizado su algoritmo de cifrado, el resto de la funcionalidad del módulo se mantuvo igual. Los desarrolladores de TrickBot también comenzaron a asegurarse de que su código no fuera descompuesto por investigadores de seguridad incorporando elementos de ofuscación.
Al final del año, TrickBot fue clasificado como la principal amenaza contra las empresas, superando a Emotet.
Los desarrolladores de TrickBot realizaron algunos cambios al troyano en 2019 una vez más. Específicamente, hicieron cambios en la forma en que funciona la característica de inyección web contra los operadores móviles de EE.UU., Sprint, Verizon Wireless y T-Mobile.
Recientemente, los investigadores han notado una mejora en el método de evasión de este troyano. Mworm, el módulo responsable de propagar una copia de sí mismo, fue reemplazado por un nuevo módulo llamado Nworm. Este nuevo módulo altera el tráfico HTTP de TrickBot, permitiendo que se ejecute desde la memoria después de infectar un controlador de dominio. Esto asegura que TrickBot no deje rastros de infección en las máquinas afectadas.
¿A quién apunta TrickBot?
Al principio, cualquiera parecía ser un objetivo de TrickBot. Pero en años recientes, sus objetivos parecen haberse vuelto más específicos, como usuarios de Outlook o T-Mobile. A veces, TrickBot se encuentra metiéndose como un spam con temática fiscal durante la temporada de impuestos.
En 2019, investigadores de DeepInstinct encontraron un repositorio de direcciones de correo electrónico recolectadas y/o credenciales de mensajería de millones de usuarios. Estos pertenecen a usuarios de Gmail, Hotmail, Yahoo, AOL y MSN.
¿Cómo puedo protegerme de TrickBot?
Aprender cómo funciona TrickBot es el primer paso para saber cómo las organizaciones y los consumidores pueden protegerse de él. Aquí hay algunas otras cosas a las que prestar atención:
- Busque posibles Indicadores de Compromiso (IOC) ejecutando herramientas específicamente diseñadas para esto, como el Farbar Recovery Scan Tool (FRST). Hacer esto identificará las máquinas infectadas dentro de la red.
- Una vez que las máquinas están identificadas, aísle las máquinas infectadas de la red.
- Descargue y aplique los parches que abordan las vulnerabilidades que TrickBot explota.
- Desactive las comparticiones administrativas.
- Cambie todas las contraseñas de administradores locales y de dominio.
- Protégete de una infección de TrickBot usando un programa de ciberseguridad que tenga protección multinivel. Los productos empresariales y de consumo premium de Malwarebytes detectan y bloquean TrickBot en tiempo real.
¿Cómo puedo eliminar TrickBot?
TrickBot no es perfecto y (como hemos visto) los desarrolladores pueden cometer errores en ocasiones. Lo importante es que puede ser eliminado. Las soluciones empresariales de Malwarebytes pueden facilitar gran parte del trabajo al aislar los sistemas afectados, remediarlos y protegerlos de futuras infecciones de TrickBot y otras cepas de malware desagradables.