Hace exactamente cinco años, en octubre de 2016, nuestras soluciones encontraron por primera vez un troyano llamado Trickbot (también conocido como TrickLoader o Trickster). En ese entonces, se encontraba mayormente en las computadoras domésticas; su tarea principal era robar las credenciales de inicio de sesión para los servicios de banca en línea. Sin embargo, en años recientes, sus creadores han transformado de manera activa el troyano bancario en una herramienta modular multifuncional.
Además, Trickbot ahora es popular entre los grupos de cibercriminales como un vehículo de entrega para inyectar malware de terceros en la infraestructura corporativa. Recientemente, los canales de noticias informaron que los autores de Trickbot se han aliado con varios socios nuevos para utilizar el malware para infectar la infraestructura corporativa con todo tipo de amenazas adicionales, como el ransomware Conti.
Este cambio de uso podría representar un peligro adicional para los empleados de los centros de operación de seguridad y otros expertos en ciberseguridad. Algunas soluciones de seguridad aún reconocen a Trickbot como un troyano bancario, de acuerdo con su especialidad original. Por lo tanto, los agentes de la infosec que lo detecten podrían verlo como una amenaza aleatoria al usuario doméstico que por accidente cayó en la red corporativa. De hecho, su presencia ahí podría indicar algo mucho más serio: un intento de inyección de ransomware o incluso parte de una operación de espionaje cibernético dirigido.
Nuestros expertos pudieron descargar módulos del troyano de uno de sus servidores C&C y los analizaron a fondo.
Las funciones de Trickbot
El objetivo principal del Trickbot moderno es penetrar y esparcirse a las redes locales. Sus operadores pueden utilizarlo para varias tareas, desde revender accesos a la infraestructura corporativa a atacantes terceros, hasta vender información confidencial. Esto es lo que el malware puede hacer:
- Recolectar nombres de usuario, hashes para contraseñas y otra información útil para movimiento lateral en la red desde el Active Directory y el registro.
- Interceptar el tráfico de Internet en la computadora infectada.
- Proporcionar control remoto de dispositivos mediante el protocolo VNC.
- Robar cookies de los navegadores.
- Extraer las credenciales de inicio de sesión desde el registro, las bases de datos de varias aplicaciones y los archivos de configuración, así como robar claves privadas, certificados SSL y archivos de datos para monederos de criptomoneda.
- Interceptar datos de autorrelleno desde los navegadores y la información que los usuarios ingresan en los formularios de los sitios web.
- Escanear los archivos en los servidores FTP y SFTP.
- Incrustar scripts maliciosos en páginas web.
- Redirigir el tráfico del navegador a través de un proxy local.
- Secuestrar la API responsable de la verificación de la cadena del certificado para falsificar los resultados de la verificación.
- Recolectar credenciales del perfil de Outlook, interceptar correos electrónicos y enviar spam mediante estos.
- Buscar el servicio OWA y entrar a la fuerza.
- Obtener acceso de bajo nivel al hardware.
- Proporcionar acceso a la computadora a nivel de hardware.
- Escanear los dominios para vulnerabilidades.
- Encontrar direcciones de servidores SQL y ejecutar consultar de búsqueda en estos.
- Esparcirse mediante los exploits EternalRomance y EternalBlue.
- Crear conexiones VPN.
Una descripción detallada de los módulos e indicadores de compromiso puede encontrarse en nuestra publicación de Securelist.
Cómo protegerse contra el troyano Trickbot
La estadística muestra que la mayoría de las detecciones de Trickbot de este año se registraron en los Estados Unidos, Australia, China, México y Francia. Sin embargo, esto no significa que otras regiones están seguras, especialmente considerando la disponibilidad de sus creadores para colaborar con otros cibercriminales.
Para evitar que su empresa sea víctima de este troyano, recomendamos que equipe todos los dispositivos con acceso a Internet con una solución de seguridad de alta calidad. Además, es buena idea utilizar servicios de supervisión de ciberamenazas para detectar actividad sospechosa en la infraestructura de la empresa.