El malware TrickBot se dirige a clientes de 60 empresas de alto perfil desde 2020 - Masterhacks Blog

El malware TrickBot se dirige a clientes de 60 empresas de alto perfil desde 2020

El notorio malware TrickBot se está dirigiendo a clientes de 60 empresas financieras y tecnológicas, incluyendo empresas de criptomonedas, ubicadas principalmente en Estados Unidos, incluso cuando sus operadores han actualizado la red de bots con nuevas funciones anti análisis.

«TrickBot es una malware sofisticado y versátil con más de 20 módulos que se pueden descargar y ejecutar bajo demanda», dijeron los investigadores de Check Point, Aliaksandr Trafimchuk y Raman Ladutska en un informe.

Además de ser frecuente y persistente, TrickBot ha evolucionado continuamente sus tácticas para superar las capas de seguridad y detección. Con ese fin, el módulo de inyección web «injectDll» del malware, que es responsable de robar datos bancarios y de credenciales, aprovecha las técnicas anti-desofuscación para bloquear la página web y frustrar los intentos de examinar el código fuente.

También se implementaron barandillas contra el análisis para evitar que los investigadores de seguridad envíen solicitudes automáticas a los servidores de comando y control (C2) para recuperar nuevas inyecciones web.

Otra de las fortalezas clave de TrickBot es su capacidad de propagarse, lo que logra mediante el uso del módulo «tabDLL» para robar las credenciales de los usuarios y propagar el malware a través de la red compartida SMBv1 utilizando el exploit EternalRomance.

Un tercer módulo crucial implementado como parte de las infecciones de TrickBot es «pwgrabc», un ladrón de credenciales diseñado para desviar contraseñas de navegadores web y otras aplicaciones como Outlook, Filezilla, WinSCP, RDP, Putty, OpenSSH, OpenVPN y TeamViewer.

«TrickBot ataca a víctimas de alto perfil para robar las credenciales y brindar a sus operadores acceso a los portales con datos confidenciales donde pueden causar un daño mayor. Los operadores detrás de la infraestructura tienen mucha experiencia en el desarrollo de malware en un nivel alto», dijeron los investigadores.

Los hallazgos también se producen cuando se reveló que el grupo de TrickBot empleaba métodos de metaprogramación para su familia de malware Bazar para ocultar su código y protegerse contra la ingeniería inversa con el objetivo final de evadir la detección basada en firmas.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *