Trickbot: características de uno de los malware más activos y peligrosos

¿Qué es Trickbot?

Trickbot, también conocido como Trickster, TheTrick o TrickLoader, es una botnet que está activa desde fines de 2016. En sus inicios esta amenaza contenía exclusivamente características de troyano, y era solamente utilizada para robar credenciales de acceso a cuentas bancarias en línea para luego intentar realizar transferencias fraudulentas. Sin embargo, con el correr del tiempo fue mutando y se expandió, hasta convertirse en un malware multi propósito disponible para que otros actores maliciosos puedan distribuir su propio malware bajo el modelo de Malware-as-a-Service y llegar a ser incluso una de las botnets más prolíficas y populares, con más de un millón de detecciones en todo el mundo.

Algunas de las principales capacidades de Trickbot son: obtener información de equipos comprometidos (sistemas operativos, programas instalados, nombres de usuarios, nombres de dominio, etc.), robar de credenciales en navegadores, robar de credenciales del cliente Outlook, obtener credenciales de Windows, abusar de protocolos como SMB y LDAP para moverse lateralmente dentro de una red corporativa y descargar otro tipo de malware.

Tanto para su primera infección como para realizar una acción maliciosa en el equipo comprometido, Trickbot hace uso de otras amenazas. Por ejemplo, se observó la presencia de este malware en equipos que habían sido infectados previamente por el popular troyano Emotet. En segundo lugar, Trickbot se ha utilizado como puerta de entrada para ejecutar otros archivos maliciosos en los equipos víctima, particularmente ransomware. Entre estos, el más destacable es el ransomware Ryuk, amenaza ya conocida y ampliamente detectada.

Principales métodos de distribución de Trickbot

Esta amenaza suele distribuirse a través de correos de phishing dirigidos utilizando como señuelo variadas excusas, como temas de actualidad, problemas o envíos relacionados con el dominio corporativo del correo de la víctima o temáticas financieras (facturas, cobro de bonos, multas de tránsito impagas, entre otros).

Estos correos suelen incluir enlaces a sitios maliciosos o infectados, o archivos adjuntos de tipos varios: principalmente documentos de tipo Excel, Word o ZIP. Estos envíos provienen de múltiples localizaciones alrededor del mundo, utilizando frecuentemente las cuentas de víctimas comprometidas en campañas antiguas para distribuirse sin apuntar a un blanco en particular.

Demás de las comunicaciones mediante correos electrónicos fraudulentos, en varias ocasiones se ha detectado a Trickbot aprovecharse de vulnerabilidades para poder realizar movimientos laterales dentro de la red de una víctima ya infectada. Por ejemplo, los famosos exploits EternalBlue y EternalRomance en el protocolo de Server Message Block (por sus siglas, SMB). Si bien estas vulnerabilidades han sido parcheadas en 2017, todavía existe una gran cantidad de equipos que no han recibido actualizaciones desde ese entonces, haciendo que el movimiento lateral sea un dolor de cabeza para las organizaciones víctimas de Trickbot.

Finalmente, uno de los últimos métodos de distribución descubiertos antes de la interrupción de la botnet es mediante droppers en equipos ya infectados por Emotet: una vez que un equipo es infectado por este último, descarga y ejecuta un archivo malicioso que contiene a Trickbot sin que el usuario tenga conocimiento de esto.

¿Qué características tiene Trickbot?

Como mencionamos al inicio de este artículo, Trickbot es un malware modular de múltiples etapas que permite a sus operadores realizar una gran cantidad de acciones maliciosas en los equipos comprometidos. Su característica modular implica que está compuesto por varias secciones autocontenidas que permite que los autores de este troyano puedan realizar modificaciones fácilmente.

Por ejemplo, uno de los módulos que contiene Trickbot alimenta a uno de los plugins de mayor antigüedad en Trickbot: aquel que se encarga de apuntar a sitios de interés (mayormente bancarios o financieros) y modificar el contenido que el usuario infectado ve mediante inyecciones web.

Consejos para protegerse

Como mencionamos en este post, Trickbot tiene cualidades altamente distinguibles que fue adaptando a lo largo de su historia. Es por esto que existen recomendaciones particulares para protegernos de esta amenaza:

  • Estar alerta a cualquier comunicación sospechosa: Verificar el remitente, la veracidad y motivo de la comunicación, aun si proviene de una dirección de correo legítima.
  • En caso de recibir un correo sospechoso, no ingresar a un sitio que parece real, pero que parece ser una sub página web sospechosa. Por ejemplo: www.bancoejemplo.com/utl/tree/2008/cont.html
  • Para archivos adjuntos, sospechar de aquellos que son de tipo Word, Excel, PDF o ZIP protegidos con contraseña, y no descargarlos.
  • Contar con una política que establezca cambios de contraseña periódicos.
  • Mantener dispositivos y aplicaciones actualizados, tanto servidores, equipos como computadoras o laptops, o dispositivos móviles.

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.