El notorio malware TrickBot se está dirigiendo a clientes de 60 empresas financieras y tecnológicas, incluyendo empresas de criptomonedas, ubicadas principalmente en Estados Unidos, incluso cuando sus operadores han actualizado la red de bots con nuevas funciones anti análisis.
Además de ser frecuente y persistente, TrickBot ha evolucionado continuamente sus tácticas para superar las capas de seguridad y detección. Con ese fin, el módulo de inyección web «injectDll» del malware, que es responsable de robar datos bancarios y de credenciales, aprovecha las técnicas anti-desofuscación para bloquear la página web y frustrar los intentos de examinar el código fuente.
También se implementaron barandillas contra el análisis para evitar que los investigadores de seguridad envíen solicitudes automáticas a los servidores de comando y control (C2) para recuperar nuevas inyecciones web.
Otra de las fortalezas clave de TrickBot es su capacidad de propagarse, lo que logra mediante el uso del módulo «tabDLL» para robar las credenciales de los usuarios y propagar el malware a través de la red compartida SMBv1 utilizando el exploit EternalRomance.
Un tercer módulo crucial implementado como parte de las infecciones de TrickBot es «pwgrabc», un ladrón de credenciales diseñado para desviar contraseñas de navegadores web y otras aplicaciones como Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN y TeamViewer.
Los hallazgos también se producen cuando se reveló que el grupo de TrickBot empleaba métodos de metaprogramación para su familia de malware Bazar para ocultar su código y protegerse contra la ingeniería inversa con el objetivo final de evadir la detección basada en firmas.