Trickbot Malware tiene nuevos trucos bajo la manga: las muestras con temas de coronavirus engañan a los productos de seguridad y a las compañías de telecomunicaciones objetivo

En 2016, Trickbot comenzó su vida como un humilde troyano bancario, pero rápidamente se hizo evidente que era mucho más que eso. En este momento, cerca de cuatro años después, probablemente sea seguro decir que es la familia de malware más utilizada en el mundo, y no hay nada que sugiera que los ciberdelincuentes se alejarán de ella en el corto plazo.

Su principal atractivo radica en su versatilidad, que proviene de su diseño modular. Los creadores de malware pueden desarrollar y agregar complementos y hacer que el troyano realice fácilmente una amplia gama de tareas. Mientras tanto, con algunos ajustes, Trickbot puede volverse más sigiloso y extremadamente difícil de eliminar. Muestras recientes descubiertas por investigadores de seguridad muestran por qué los cibercriminales lo aman tanto.

Las muestras de Trickbot usan el pánico que rodea el brote de coronavirus para evadir las soluciones de seguridad

Trickbot, como muchas otras familias de malware, está utilizando la actual pandemia de coronavirus en sus campañas. Sin embargo, a diferencia de otras pandillas, los operadores de Trickbot no usan el brote para engañar a las víctimas para que abran un archivo o hagan clic en un enlace. Esta vez, el coronavirus juega un papel en engañar a la computadora.

De acuerdo con el sitio web de noticias de seguridad Bleeping Computer, recientemente, los delincuentes hicieron cambios en el crypter del malware, un programa diseñado para cifrar el código del ejecutable y hacer que parezca legítimo. Los investigadores revisaron las propiedades de los nuevos archivos y descubrieron que las cadenas de los informes de noticias de Coronavirus se colocaron en campos como "Descripción del archivo", "Nombre del producto" y "Copyright".

Esto parece un movimiento extraño. Después de todo, la triste verdad es que es poco probable que los usuarios habituales investiguen un archivo desconocido con tantos detalles antes de lanzarlo, e incluso si lo hicieran, hay una buena posibilidad de que se confundan con una página de Propiedades que se ve así. Sin embargo, hay un método detrás de todo esto.

Vitali Kremez de SentinelLabs le dijo a Bleeping Computer que probablemente sea una técnica de detección de evasión. Aparentemente, los operadores de Trickbot lo han usado en el pasado, y parece ser especialmente efectivo contra las soluciones de seguridad que dependen de la inteligencia artificial y el aprendizaje automático.

Estas nuevas incorporaciones sugieren que los operadores de Trickbot están decididos a comprometer con éxito sus objetivos. Esto, por cierto, también está respaldado por una investigación no relacionada realizada por Bitdefender a principios de este mes.

Trickbot ataca objetivos a través de RDP

Los investigadores de Bitdefender estaban monitoreando el comportamiento de Trickbot cuando a fines de enero notaron que los delincuentes estaban presionando una actualización. Había un nuevo modelo que los expertos no habían visto antes. Algunas de las funciones no funcionaban correctamente, lo que mostraba que la actualización todavía era un trabajo en progreso, pero a pesar de esto, logró darles a los expertos una idea de cuáles podrían ser los planes futuros de los delincuentes.

El nuevo módulo, junto con un archivo de configuración, se descarga de uno de los muchos servidores de Comando y Control (C&C) disponibles después de una infección exitosa. Trickbot recibe una lista de objetivos, y su primera tarea es ver si tienen habilitados sus servicios de Protocolo de escritorio remoto (RDP). Si un objetivo tiene un RDP abierto, su nombre se envía de vuelta a los C&C a través de una solicitud POST. El servidor responde con una colección de nombres de usuario y contraseñas que Trickbot utiliza para tratar de forzar su entrada y comprometer a la organización objetivo.

Es difícil decir si el nuevo módulo ya se ha utilizado en la naturaleza. Sin embargo, según la lista de objetivos que vio el investigador de Bitdefender, pronto podría desatarse contra compañías de telecomunicaciones en los EE. UU. Y Hong Kong. Los delincuentes también podrían centrarse en las empresas del sector financiero, así como en organizaciones que se ocupan de la educación y la investigación científica.

Las dos nuevas incorporaciones representan lo último en una larga línea de actualizaciones que los operadores de Trickbot han agregado a su malware. Solo podemos adivinar qué dirección tomará el troyano a continuación, pero podemos estar bastante seguros de que seguirá siendo un favorito entre los ciberdelincuentes.