Investigadores creen que TrickBot podría estar cambiando sus operaciones para nuevos ataques cibernéticos

0

Investigadores de Seguridad Cibernética creen que el malware TrickBot está cambiando para nuevos ataques cibernéticos

Un nuevo módulo del troyano bancario TrickBot ahora explota computadoras infectadas para lanzar ataques de fuerza bruta RDP

TrickBot, la solución Crimeware-as-a-Service (CaaS) de windows, que es utilizada por una variedad de grupos de hackers para entregar cargas útiles de próxima etapa como ransomware, parece estar experimentando una especie de transición, sin que se registre ninguna actividad nueva desde el principio del año.

La pausa en las campañas de malware se debe «parcialmente a un gran cambio de los operadores de TrickBot, incluido el trabajo con los operadores de Emotet», dijeron investigadores de Intel 471 en un informe.

El último conjunto de ataques que involucró a TrickBot se registró el 28 de diciembre de 2021, incluso cuando la infraestructura de comando y control (C2) asociada con el malware siguió brindando complementos adicionales e inyecciones web a los nodos infectados en la red de bots.

La disminución en el volumen de las campañas también estuvo acompañada por la estrecha colaboración de TrickBot con los operadores de Emotet, que experimentó un resurgimiento a fines del año pasado luego de una pausa de 10 meses después de los esfuerzos de las fuerzas del orden para abordar el malware.

Los ataques, que se observaron por primera vez en noviembre de 2021, presentaban una secuencia de infección que usaba TrickBot como conducto para descargar y ejecutar binarios de Emotet, cuando antes del desmantelamiento, Emotet se usaba generalmente para lanzar muestras de TrickBot.

«Es probable que los operadores de TrickBot hayan eliminado gradualmente el malware TrickBot de sus operaciones a favor de otras plataformas, como Emotet. TrickBot, después de todo, es un malware relativamente antiguo que no se ha actualizado de forma importante», dijeron los investigadores.

Además, Intel 471 dijo que observó casos en los que TrikBot envió instalaciones de Qbot a los sistemas comprometidos poco después del regreso de Emotet en noviembre de 2021, lo que una vez más planteó la posibilidad de una reorganización detrás de escena para migrar a otras plataformas.

Con TrickBot cada vez más bajo la lente de las fuerzas del orden en 2021, quizás no sea demasiado sorprendente que el atacante detrás de él esté intentando activamente cambiar de táctica y actualizar sus medidas defensivas.

Según un informe separado publicado por Advanced Intelligence (AdvIntel) la semana pasada, se cree que el cártel de ransomware Conti, adquirió a varios desarrolladores de élite de TrickBot para retirar el malware a favor de herramientas mejoradas como BazarBackdoor.

«Quizás una combinación de atención no deseada a TrickBot y la disponibilidad de plataformas de malware más nuevas y mejoradas ha convencido a los operadores de TrickBot para que lo abandonen. Sospechamos que la infraestructura de control de malware (C2) se mantiene porque aún hay algo de valor de monetización en los bots restantes», dijeron los investigadores.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *