¿Qué es el malware TrickBot?
TrickBot (o "TrickLoader") es un troyano bancario reconocido que apunta tanto a empresas como a consumidores para obtener sus datos, como información bancaria, credenciales de cuentas, información personal identificable (PII) e incluso bitcoins. Como un malware altamente modular, puede adaptarse a cualquier entorno o red en el que se encuentre.
Los numerosos trucos que ha realizado este troyano desde su descubrimiento en 2016 se atribuyen a la creatividad y agilidad de sus desarrolladores. Además de robar, a TrickBot se le ha dotado de capacidades para moverse lateralmente y hacerse un hueco en una red afectada mediante exploits, propagar copias de sí mismo a través de recursos compartidos de bloque de mensajes de servidor (SMB), soltar otro malware como el ransomware Ryuk y buscar documentos y archivos multimedia en máquinas host infectadas.
¿Cómo se propaga TrickBot?
Al igual que Emotet, TrickBot llega a los sistemas afectados en forma de URL incrustadas o archivos adjuntos infectados en campañas de spam malicioso(malspam).
Una vez ejecutado, TrickBot se propaga lateralmente dentro de la red explotando la vulnerabilidad SMB mediante uno de los tres exploits de la NSA ampliamente conocidos: EternalBlue, EternalRomance o EternalChampion.
Emotet también puede soltar TrickBot como parte de una infección secundaria.
¿Cuál es la historia de TrickBot?
TrickBot comenzó como un ladrón de información bancaria, pero nada es sencillo, incluso desde el principio.
Cuando los investigadores de Malwarebytes descubrieron inicialmente TrickBot en 2016, ya presumía de atributos que uno normalmente no ve en ladrones de credenciales "simples". Inicialmente, apuntó a los servicios financieros y a los usuarios para obtener datos bancarios. También instala otros malwares.
TrickBot tiene la reputación de ser el sucesor de Dyreza, otro ladrón de credenciales que apareció por primera vez en 2014. TrickBot compartía similitudes con Dyreza, como ciertas variables con valores similares y la forma en que los creadores de TrickBot configuraban los servidores de comando y control (C&C) con los que TrickBot se comunica. Esto ha llevado a muchos investigadores a creer que la persona o grupo que creó Dyreza también creó TrickBot.
En 2017, los desarrolladores incluyeron un módulo de gusano en TrickBot, que creemos que se inspiró en exitosas campañas de ransomware con capacidades similares a las de un gusano, como WannaCry y EternalPetya. Los desarrolladores también añadieron un módulo para cosechar credenciales de Outlook. ¿Por qué Outlook? Bueno, cientos de organizaciones y millones de individuos en todo el mundo suelen utilizar este servicio de correo web. El abanico de datos que roba TrickBot también se amplió: cookies, historial de navegación, URLs visitadas, Flash LSO (Local Shared Objects), y muchos más.
Aunque estos módulos eran nuevos en ese momento, no estaban bien programados.
En 2018, TrickBot continuó explotando la vulnerabilidad SMB. También se equipó con el módulo que deshabilita el monitoreo en tiempo real de Windows Defender usando un comando de PowerShell. A pesar de haber actualizado su algoritmo de cifrado, el resto de la funcionalidad del módulo se mantuvo igual. Los desarrolladores de TrickBot también comenzaron a asegurarse de que su código no fuera descompuesto por investigadores de seguridad incorporando elementos de ofuscación.
Al final del año, TrickBot fue clasificado como la principal amenaza contra las empresas, superando a Emotet.
Los desarrolladores de TrickBot realizaron algunos cambios al troyano en 2019 una vez más. Específicamente, hicieron cambios en la forma en que funciona la característica de inyección web contra los operadores móviles de EE.UU., Sprint, Verizon Wireless y T-Mobile.
Recientemente, los investigadores han observado una mejora en el método de evasión de este troyano . Mworm, el módulo responsable de propagar una copia de sí mismo, fue sustituido por un nuevo módulo llamado Nworm. Este nuevo módulo altera el tráfico HTTP de TrickBot, permitiéndole ejecutarse desde la memoria tras infectar un controlador de dominio. Esto asegura que TrickBot no deje ningún rastro de infección en las máquinas afectadas.
¿A quién apunta TrickBot?
Al principio, cualquiera parecía ser un objetivo de TrickBot. Pero en años recientes, sus objetivos parecen haberse vuelto más específicos, como usuarios de Outlook o T-Mobile. A veces, TrickBot se encuentra metiéndose como un spam con temática fiscal durante la temporada de impuestos.
En 2019, investigadores de DeepInstinct encontraron un repositorio de direcciones de correo electrónico recolectadas y/o credenciales de mensajería de millones de usuarios. Estos pertenecen a usuarios de Gmail, Hotmail, Yahoo, AOL y MSN.
¿Cómo puedo protegerme de TrickBot?
Aprender cómo funciona TrickBot es el primer paso para saber cómo las organizaciones y los consumidores pueden protegerse de él. Aquí hay algunas otras cosas a las que prestar atención:
- Busque posibles Indicadores de Compromiso (IOC) ejecutando herramientas específicamente diseñadas para esto, como el Farbar Recovery Scan Tool (FRST). Hacer esto identificará las máquinas infectadas dentro de la red.
- Una vez que las máquinas están identificadas, aísle las máquinas infectadas de la red.
- Descargue y aplique los parches que abordan las vulnerabilidades que TrickBot explota.
- Desactive las comparticiones administrativas.
- Cambie todas las contraseñas de administradores locales y de dominio.
- Protégete de una infección de TrickBot usando un programa de ciberseguridad que tenga protección multinivel. Los productos empresariales y de consumo premium de Malwarebytes detectan y bloquean TrickBot en tiempo real.
¿Cómo puedo eliminar TrickBot?
TrickBot no es perfecto y (como hemos visto) los desarrolladores pueden cometer errores en ocasiones. Lo importante es que puede ser eliminado. Las soluciones empresariales de Malwarebytes pueden facilitar gran parte del trabajo al aislar los sistemas afectados, remediarlos y protegerlos de futuras infecciones de TrickBot y otras cepas de malware desagradables.