El infame troyano Trickbot ahora también es capaz de robar credenciales de navegadores web

Trickbot Streals Passwords From Browsers

En poco más de dos años, Trickbot se ha transformado de un recién llegado a un nombre establecido en el panorama de amenazas en línea. Por alguna razón, muchas personas continúan clasificándolo como un troyano bancario, pero aquellos que lo han analizado en detalle saben que es un poco más que eso.

Trickbot es una familia de malware modular y altamente personalizable.

Analizado por primera vez en octubre de 2016, se cree que Trickbot es el trabajo de los mismos cibercriminales que crearon Cutwail, Vawtrak y Pushdo. Cuando apareció en escena, era una amenaza bastante simple con un número limitado de instituciones financieras específicas. Sin embargo, llegó una actualización aproximadamente un mes después, y los expertos se dieron cuenta rápidamente de que tenían una pieza seria de malware en sus manos. A las pocas semanas de lanzar la primera versión, los autores de Trickbot ya habían logrado incluir mecanismos de redirección e inyección web del lado del servidor en su troyano. Trickbot podría no haber sido el primer malware bancario en usar las dos técnicas, pero fue el primero en hacerlo tan pronto después de su debut. La pandilla tenía más que unos pocos trucos bajo la manga.

Incluso en la primera versión, los investigadores de seguridad vieron que el diseño de Trickbot permite la adición fácil de módulos que podrían diversificar sus actividades criminales. En el verano de 2017, los delincuentes implementaron un componente que robó las credenciales de inicio de sesión no solo para las cuentas bancarias, sino también para los sistemas de gestión de relaciones con los clientes, y poco después, agregaron muchas entradas nuevas a la lista de instituciones financieras específicas. La pandilla Trickbot ahora acosaba a los usuarios en cerca de veinte países.

En julio de 2017, agregaron un módulo de gusano que aprovechó el protocolo SMB ahora infame para extenderse por la red, y en los próximos meses, experimentaron con algunos componentes diferentes como, por ejemplo, un módulo de bloqueo de pantalla que tiene Afortunadamente permaneció discapacitado. Ahora, tenemos una nueva versión con aún más funcionalidad.

Trickbot extrae datos de navegadores y otras aplicaciones

El mes pasado, los investigadores de Trend Micro y Fortinet notaron algunas muestras de Trickbot volando.

Como suele ser el caso, se distribuyeron con la ayuda de correos electrónicos no deseados. Para atraer a las víctimas a que abrieran el archivo adjunto, los delincuentes llamaron al archivo "Sep_report.xls", y lo que siguió fue el típico escenario "habilitar macros para ver contenido".

Después de la distribución, el código se descargó y ejecutó el troyano Trickbot, pero cuando lo miraron más de cerca, los expertos vieron un módulo que no habían visto antes. Llegó en forma de un archivo de 1 MB llamado "pwgrab32". Su nombre revela parte de su funcionalidad: robar contraseñas.

Cuando observaron más de cerca el nuevo módulo, los expertos vieron que puede atacar a la mayoría de los principales navegadores. Roba no solo las credenciales de inicio de sesión, sino también los datos de autocompletar (que, en los navegadores modernos, pueden incluir detalles de tarjetas de crédito y otra información confidencial) de Google Chrome, Mozilla Firefox e Internet Explorer. También había un mecanismo para extraer datos de Microsoft Edge, pero se deshabilitó cuando Fortinet y Trend Micro lo miraron. En su lugar, los autores de Trickbot colocaron un componente para eliminar las credenciales de inicio de sesión del cliente de correo electrónico de Microsoft, Outlook, así como de un par de clientes FTP: FileZilla y WinSCP.

Hemos discutido por qué guardar las credenciales de inicio de sesión y otros datos en el navegador no es una buena idea, y la nueva funcionalidad de Trickbot ilustra el punto bastante bien. Durante años, los expertos han abogado por el uso de herramientas de administración de contraseñas independientes como Cyclonis Password Manager , y es posible que desee comenzar a pensar en seguir sus consejos.

Sin embargo, incluso con un administrador de contraseñas, Trickbot sigue siendo una amenaza a tener en cuenta, y la nueva actualización muestra que los delincuentes no tienen intención de retirarla en el corto plazo.

October 9, 2019