El malware Trickbot pertenece a la familia de troyanos software espía, principalmente empleado contra los objetivos del sector bancario.
Su primera aparición se remonta a 2016 y sus objetivos se han identificado en varios estados, entre ellos Estados Unidos, Canadá, Gran Bretaña, Alemania, Australia, Autria, Irlanda y Suiza.
El malware, en lo que a desarrollo se refiere, fue escrito en C ++, uno de los lenguajes capaces de acceder directamente a la CPU, registros y memoria.
Trickbot es un troyano que solo funciona en plataformas Windows. Una vez que el malware infecta una PC, su tarea es robar credenciales e información bancaria, pero también se puede utilizar para exportar archivos o datos en general.
El malware, en primer lugar, tiene la capacidad de cargar el código dentro del sistema a infectarse y crear una réplica de sí mismo dentro de la carpeta% APPDATA%, eliminando el archivo original.
Por lo tanto, es capaz de recopilar información confidencial, como datos personales y credenciales bancarias (utilizando la información recopilada por los navegadores) y luego exfiltrarlos, pero también las direcciones de correo electrónico.
A través de su cadena C2 es capaz de actualizarse a nuevas versiones y exfiltrar los datos. El canal utilizado para su cadena C2 está cifrado con cifrado simétrico (AES CBC 256 bit).
Es capaz de redirigir al usuario a sitios falsos con el fin de recopilar sus credenciales.
Trickbot ha sido empleado por algunos grupos, sobre todo TA505 y Wizard Spider.
Existen varias versiones del malware, para sistemas de 32 y 64 bits.
El vector de infección es generalmente un archivo de Word con macros activas, recibido por correo electrónico durante una campaña. spearphishing.
Es posible identificar la presencia de Trickbot en nuestro sistema en modo manual simplemente mirando la carpeta% APPDATA% y verificando la presencia de los dos archivos típicos de Trickbot:
- client_id, que contiene los datos de identificación de un usuario infectado;
- group_tag, que contiene los datos de identificación de la campaña de infección.
En la misma carpeta se encuentra el archivo ejecutable Trickbot originalmente copiado del archivo original.
En cambio, parece que por el momento no hay forma de identificar su presencia a través de sistemas automáticos de análisis de tráfico, ya que el tráfico creado hacia el sistema C2 está encriptado (SSL).
En cambio, se puede identificar analizando la memoria, pero hay que tener en cuenta que las distintas versiones dejan huellas distintas.
Para la eliminación de Trickbot puedes referirte a algún software como "malwarebytes" o tienes que proceder manualmente, dependiendo de la versión del sistema operativo, nada imposible, pero no fácil.
Trickbot es un malware que se propaga a través de campañas de phishing o spearphishing, por lo que es muy importante prestar mucha atención a los correos electrónicos recibidos y adoptar el principio saludable de "no abrir un correo electrónico o archivo sospechoso", aunque no siempre sea fácil de aplicar.
Trickbot, como cualquier malware, aprovecha los agujeros de seguridad del sistema.
Para protegerse, a veces es suficiente la configuración correcta de los sistemas en uso, con especial referencia al uso correcto de las cuentas de administración.
También recomendamos el uso de software y sistemas cubiertos por el soporte de la empresa matriz, en particular en lo que respecta a los Sistemas Operativos que son la base de la seguridad.
El uso de "Detección y respuesta de endpoints" puede ayudar, siempre que el personal pueda manejarlos.
Para obtener más información:
- https://fraudwatchinternational.com/malware/trickbot-malware-works/
- https://attack.mitre.org/software/S0266/
- https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-...
- https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-repor...
- https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
- https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain...
