{"id":23134,"date":"2021-10-20T13:08:23","date_gmt":"2021-10-20T19:08:23","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23134"},"modified":"2021-10-20T13:08:23","modified_gmt":"2021-10-20T19:08:23","slug":"trickbot-new-tricks","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/trickbot-new-tricks\/23134\/","title":{"rendered":"Los nuevos trucos del troyano Trickbot"},"content":{"rendered":"<p>Hace exactamente cinco a\u00f1os, en octubre de 2016, nuestras soluciones encontraron por primera vez un troyano llamado Trickbot (tambi\u00e9n conocido como TrickLoader o Trickster). En ese entonces, se encontraba mayormente en las computadoras dom\u00e9sticas; su tarea principal era robar las credenciales de inicio de sesi\u00f3n para los servicios de banca en l\u00ednea. Sin embargo, en a\u00f1os recientes, sus creadores han transformado de manera activa el troyano bancario en una herramienta modular multifuncional.<\/p>\n<p>Adem\u00e1s, Trickbot ahora es popular entre los grupos de cibercriminales como un veh\u00edculo de entrega para inyectar <em>malware<\/em> de terceros en la infraestructura corporativa. Recientemente, los canales de noticias <a href=\"https:\/\/threatpost.com\/trickbot-cybercrime-elite-affiliates\/175510\/\" target=\"_blank\" rel=\"noopener nofollow\">informaron<\/a> que los autores de Trickbot se han aliado con varios socios nuevos para utilizar el <em>malware<\/em> para infectar la infraestructura corporativa con todo tipo de amenazas adicionales, como el <em>ransomware<\/em> Conti.<\/p>\n<p>Este cambio de uso podr\u00eda representar un peligro adicional para los empleados de los centros de operaci\u00f3n de seguridad y otros expertos en ciberseguridad. Algunas soluciones de seguridad a\u00fan reconocen a Trickbot como un troyano bancario, de acuerdo con su especialidad original. Por lo tanto, los agentes de la infosec que lo detecten podr\u00edan verlo como una amenaza aleatoria al usuario dom\u00e9stico que por accidente cay\u00f3 en la red corporativa. De hecho, su presencia ah\u00ed podr\u00eda indicar algo mucho m\u00e1s serio: un intento de inyecci\u00f3n de <em>ransomware<\/em> o incluso parte de una operaci\u00f3n de espionaje cibern\u00e9tico dirigido.<\/p>\n<p>Nuestros expertos pudieron descargar m\u00f3dulos del troyano de uno de sus servidores C&amp;C y los analizaron a fondo.<\/p>\n<h2>Las funciones de Trickbot<\/h2>\n<p>El objetivo principal del Trickbot moderno es penetrar y esparcirse a las redes locales. Sus operadores pueden utilizarlo para varias tareas, desde revender accesos a la infraestructura corporativa a atacantes terceros, hasta vender informaci\u00f3n confidencial. Esto es lo que el <em>malware<\/em> puede hacer:<\/p>\n<ul>\n<li>Recolectar nombres de usuario, hashes para contrase\u00f1as y otra informaci\u00f3n \u00fatil para movimiento lateral en la red desde el Active Directory y el registro.<\/li>\n<li>Interceptar el tr\u00e1fico de Internet en la computadora infectada.<\/li>\n<li>Proporcionar control remoto de dispositivos mediante el protocolo VNC.<\/li>\n<li>Robar cookies de los navegadores.<\/li>\n<li>Extraer las credenciales de inicio de sesi\u00f3n desde el registro, las bases de datos de varias aplicaciones y los archivos de configuraci\u00f3n, as\u00ed como robar claves privadas, certificados SSL y archivos de datos para monederos de criptomoneda.<\/li>\n<li>Interceptar datos de autorrelleno desde los navegadores y la informaci\u00f3n que los usuarios ingresan en los formularios de los sitios web.<\/li>\n<li>Escanear los archivos en los servidores FTP y SFTP.<\/li>\n<li>Incrustar <em>scripts<\/em> maliciosos en p\u00e1ginas web.<\/li>\n<li>Redirigir el tr\u00e1fico del navegador a trav\u00e9s de un proxy local.<\/li>\n<li>Secuestrar la API responsable de la verificaci\u00f3n de la cadena del certificado para falsificar los resultados de la verificaci\u00f3n.<\/li>\n<li>Recolectar credenciales del perfil de Outlook, interceptar correos electr\u00f3nicos y enviar spam mediante estos.<\/li>\n<li>Buscar el servicio OWA y entrar a la fuerza.<\/li>\n<li>Obtener acceso de bajo nivel al hardware.<\/li>\n<li>Proporcionar acceso a la computadora a nivel de hardware.<\/li>\n<li>Escanear los dominios para vulnerabilidades.<\/li>\n<li>Encontrar direcciones de servidores SQL y ejecutar consultar de b\u00fasqueda en estos.<\/li>\n<li>Esparcirse mediante los <em>exploits<\/em> EternalRomance y EternalBlue.<\/li>\n<li>Crear conexiones VPN.<\/li>\n<\/ul>\n<p>Una descripci\u00f3n detallada de los m\u00f3dulos e indicadores de compromiso puede encontrarse en nuestra <a href=\"https:\/\/securelist.com\/trickbot-module-descriptions\/104603\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n de Securelist<\/a>.<\/p>\n<h2>C\u00f3mo protegerse contra el troyano Trickbot<\/h2>\n<p>La estad\u00edstica muestra que la mayor\u00eda de las detecciones de Trickbot de este a\u00f1o se registraron en los Estados Unidos, Australia, China, M\u00e9xico y Francia. Sin embargo, esto no significa que otras regiones est\u00e1n seguras, especialmente considerando la disponibilidad de sus creadores para colaborar con otros cibercriminales.<\/p>\n<p>Para evitar que su empresa sea v\u00edctima de este troyano, recomendamos que equipe todos los dispositivos con acceso a Internet con una <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/managed-detection-and-response?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad de alta calidad<\/a>. Adem\u00e1s, es buena idea utilizar <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/managed-detection-and-response?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">servicios de supervisi\u00f3n de ciberamenazas<\/a> para detectar actividad sospechosa en la infraestructura de la empresa.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>En los \u00faltimos cinco a\u00f1os, el troyano bancario Trickbot ha evolucionado para convertirse en una herramienta multifuncional para los cibercriminales.<\/p>\n","protected":false},"author":2581,"featured_media":23135,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[5492,472,2374,1262],"class_list":{"0":"post-23134","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-espionaje-cibernetico","11":"tag-ransomware","12":"tag-troyano-bancario","13":"tag-troyanos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trickbot-new-tricks\/23134\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trickbot-new-tricks\/23505\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trickbot-new-tricks\/18989\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/trickbot-new-tricks\/25590\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trickbot-new-tricks\/23654\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trickbot-new-tricks\/26285\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trickbot-new-tricks\/25818\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trickbot-new-tricks\/31757\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trickbot-new-tricks\/10184\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trickbot-new-tricks\/42622\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trickbot-new-tricks\/17922\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trickbot-new-tricks\/18323\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/trickbot-new-tricks\/15426\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trickbot-new-tricks\/27612\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/trickbot-new-tricks\/31837\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/trickbot-new-tricks\/27745\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trickbot-new-tricks\/24497\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trickbot-new-tricks\/29857\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trickbot-new-tricks\/29659\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/troyanos\/","name":"troyanos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=23134"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23134\/revisions"}],"predecessor-version":[{"id":23138,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23134\/revisions\/23138"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/23135"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=23134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=23134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=23134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}