Saltar al contenido principal

TrickBot: la botnet polivalente

¿Qué hace que la botnet de TrickBot sea tan peligrosa? Además de los troyanos bancarios Emotet (neutralizado en el último tiempo) y Retefe, TrickBot también es un peligro para tu computadora. TrickBot y la botnet detrás del malware representan un desafío para los especialistas de ciberseguridad.
TrickBot ha estado en uso desde el 2016 por cibercriminales para infiltrarse en las computadoras de otras personas y espiar datos privados y confidenciales. Las victimas de estos ciberataques no solo incluyen compañías, sino que también personas particulares. El alcance y las capacidades del malware han aumentado considerablemente desde su descubrimiento en el 2016. El enfoque ya no es solo el robo de datos: TrickBot también puede cambiar el tráfico de red y propagarse aún más. Una vez que el malware ingresa a un sistema e infecta la computadora, TrickBot abre una compuerta trasera para que ingrese más malware.

TrickBot es particularmente peligroso y dañino debido a su capacidad para mutar y la gran cantidad de plugins que ahora incluye. Como suele ocurrir con el malware troyano , TrickBot se especializa en ocultarse de su víctima. Por tanto, solo se puede detectar y eliminar poniendo mucha atención y utilizando el mejor software de seguridad, como Kaspersky Anti-Virus .

¿Cómo se extiende el troyano bancario TrickBot?

Inicialmente, TrickBot lograba ingresar al sistema mediante correos electrónicos de phishing. Esto implicaba el envío de correos electrónicos falsos engañosos que aparentan ser genuinos y provenientes de compañías e instituciones reconocidas. Estos correos a menudo incluyen un archivo adjunto. A las víctimas de un ataque de TrickBot se les solicita en el correo electrónico que abran el archivo adjunto o el enlace, lo cual da lugar a que el dispositivo se infecte. Abrir los archivos adjuntos produce la descarga del malware. Una infección de TrickBot también puede ocurrir, por ejemplo, mediante actualizaciones maliciosas o malware que ya se encuentre en el dispositivo final. Una vez que el malware ingresa en la computadora y logra guardar los datos del usuario, una de sus metas principales es permanecer oculto el mayor tiempo posible.

¿Cómo funciona un ataque de TrickBot?

En un ataque de TrickBot, se cierran en primer lugar los servicios de Windows y las actividades de Windows Defender y otros software antivirus. Luego, se utilizan varios métodos para extender privilegios. Posteriormente, los derechos administrativos resultantes se pueden utilizar por parte de otros plugins, los cuales el malware carga automáticamente. Después, TrickBot espía el sistema y las redes para luego recopilar datos del usuario. Tras esto, la información que recopiló el malware se reenvía a dispositivos externos o a los cibercriminales detrás del ataque.

¿Cúales son las consecuencias del troyano bancario para la víctima y el dispositivo final?

El virus "Win 32/TrickBot.AK" hace que se almacenen datos sin el consentimiento del usuario y espía al usuario del dispositivo final. Una forma posible de obtener los datos puede ser, por ejemplo, mostrando campos de diálogo falsos que aparecen debido al malware. TrickBot no almacena pulsaciones de teclas, ni graba capturas de pantalla. El troyano puede conectarse a un servidor remoto y pertenece a un grupo de malware automatizado llamado botnet. TrickBot no afecta el rendimiento de la computadora portátil, ni hace que deje de responder a comandos. Sin embargo, TrickBot puede ser el responsable de un ataque DDoS (ataque distribuido de denegación de servicio). En este caso, una gran cantidad de solicitudes dirigidas desde una gran cantidad de computadoras provoca la interrupción de un servicio. Otras capacidades del malware TrickBot incluyen descargar malware en computadoras infectadas, propagarse y crear puntos de ataque para hackers.

Cómo detectar a TrickBot y eliminar troyanos bancarios

Para detectar una infección de TrickBot, es necesario ser vigilante. Señales posibles de una infección de malware pueden ser, por ejemplo, intentos de inicio de sesión no autorizados en cuentas en línea. Las víctimas de un ataque a veces suelen recibir alertas de un cambio en la infraestructura de red. Un indicio posterior y grave de una infección de malware también puede ser una transferencia bancaria realizada sin tu intervención. El malware puede disfrazarse como un proceso informático legítimo o un archivo ordinario. Esto hace que sea prácticamente indetectable y eliminar archivos sospechosos puede producir daños irreparables en la computadora. Ya que TrickBot es un troyano que roba datos, el daño se debe reparar lo más pronto posible. Productos antimalware como los de Kaspersky son la forma más óptima para hacerlo. La detección de una infección de TrickBot y la eliminación del troyano bancario son procesos que consumen muchísimo tiempo.

Relleno de credenciales: las consecuencias de un ataque de TrickBot

Como ya se mencionó, TrickBot busca robar datos de inicio de sesión. Por ende, realiza lo que se conoce como relleno de credenciales . El relleno de credenciales escribe un método que utilizan los cibercriminales para apropiarse de cuentas en línea. Inicialmente, las instituciones financieras como los bancos se consideraban el blanco principal del troyano TrickBot. Los cibercriminales adquirían acceso no autorizado a cuentas personales robando credenciales privadas. Luego, estas se pueden usar para, por ejemplo, realizar transferencias bancarias. Además de contraseñas y nombres de usuario, TrickBot también puede obtener acceso a la información de autollenado del navegador, además de su historial y las cookies almacenadas.

Consecuencias típicas de un ataque de TrickBot

Las víctimas de ataques de TrickBot suelen tener que enfrentar un conjunto típico de consecuencias. Por un lado, los cibercriminales se apoderan de sus cuentas. Una vez que esto ocurre, los hackes suelen exigir un rescate a cambio de liberar las cuentas o los archivos. Por último, pero no menos importante, el ransomware se puede propagar a otros archivos en los dispositivos infectados.

Luchar contra TrickBot: cómo protegerte mejor contra un ataque

  • Utiliza un software antivirus profesional o un buscador de troyanos.
  • Ten cuidado cuando revises correos electrónicos de spam. Abstente de abrir correos electrónicos o archivos adjuntos que sean sospechosos o tengan apariencia dudosa. Además, señala a los empleados que no deben dar su consentimiento para activar macros bajo ninguna circunstancia.
  • El software de las computadoras siempre debe estar actualizado.
  • Se cauteloso cuando actualices software.
  • Utiliza proveedores oficiales en lugar de proveedores de software de terceros y rechaza paquetes complementarios cuando descargues.

A pesar de realizar incontables medidas de precaución, siempre queda un nivel residual de riesgo y un troyano podría infectar tu computadora. Por tanto, no dejes de realizar copias de seguridad de datos con frecuencia.

TrickBot en combinación con otros malware

Emotet, TrickBot y Ryuk: una combinación fatal para tus datos

Las cosas buenas suelen venir de a tres. Sin embargo, es todo lo contrario cuando hablamos de la combinación de Trickbot, Emotet y Ryuk. La combinación de estos tres programas de malware es particularmente peligrosa y hace que el daño causado por un solo ataque de TrickBot se vea como algo inofensivo. Los tres programas trabajan en conjunto de forma fluida y, por lo tanto, maximizan el daño. Emotet representa el principio de la infestación y realiza las tareas clásicas de un troyano, lo cual abre la puerta para que TrickBot y Ryuk ingresen y, en consecuencia, permite el acceso a los perpetradores. Posteriormente, los atacantes usan TrickBot para obtener información acerca del sistema infectado y distribuirse en la red de la mejor forma posible. Como paso final, se instala el criptotroyano Ryuk en la mayor cantidad posible de sistemas y cifra el disco duro, de acuerdo con las acciones del ransomware . Además, se eliminan todos las copias de seguridad de datos que se puedan encontrar.

TrickBot y IcedID: un equipo de troyanos bancarios particularmente eficiente

Esta no es la única combinación en la cual aparece TrickBot. La combinación de TrickBot y IcedID es igualmente peligrosa. Cuando estos dos troyanos bancarios se combinan, se realiza un ataque aun más focalizado a los datos bancarios. El malware IcedID se transmite a la víctima mediante, por ejemplo, spam malicioso; luego, el malware se abre en el sistema. Esto inicia la descarga del malware TrickBot. Después, TrickBot puede realizar sus tareas de espionaje habituales y determinar qué tipo de fraude financiero se puede realizar.

TrickBot y Windows Defender

Por otro lado, los programas de malware como TrickBot tienen formas de eludir la detección por parte de Windows Defender. Sin embargo, lo que hace especial a TrickBot no es solo poder operar por debajo del radar, sino que también puede deshabilitar Windows Defender completamente.

Resumen

TrickBot representa una amenaza a tu computadora debido a su actividad principal: robar credenciales. Sin embargo, si sumamos su mutabilidad y la gran cantidad de plugins que trae consigo, esto hace que sea un invitado indeseado en tu dispositivo final. Los ataques de TrickBot son particularmente graves cuando ocurren en conjunto con otros programas de malware. Esto hace que sea aún más importante detectar el malware lo antes posible con un excelente software de seguridad y un alto nivel de atención. Esto puede evitar que más malware pueda ingresar a futuro.

TrickBot: la botnet polivalente

Aprende a protegerte del troyano bancario TrickBot. ✓ Reconoce a TrickBot ✓ Evita el relleno de credenciales ✓ Elimina al virus
Kaspersky logo

Artículos relacionados