Troyano bancario TrickBot: troyano dirigido a máquinas con Windows

Publicado: 2019-01-17

Las personas de todo el mundo están bajo la amenaza constante de varios programas maliciosos diseñados para obtener ganancias ilícitas o para robar datos personales. Pero hay específicamente un tipo que es el más odiado; son troyanos bancarios. Una y otra vez, aparecen en diferentes formas y explotan a los usuarios. Pero el peor que ha llamado la atención recientemente es el troyano bancario TrickBot que se dirige a las máquinas con Windows. Se ha descubierto que este troyano específico ha tenido éxito en Australia, Asia y América Latina. Ahora también se está abriendo camino en Argentina, Perú y Chile, con la intención de infectar millones de máquinas. Puede determinar la intensidad de su notoriedad y daño por el hecho de que pudieron enviar más de 75000 correos electrónicos en 25 minutos desde Lloyds Bank, Reino Unido, en 2017.

Troyano TrickBot
Fuente: – periódico de seguridad

¿Qué es Trickbot?

Este es uno de los troyanos bancarios más activos en el mercado que tiene una gran cantidad de capacidades que incluyen redirecciones de URL e inyecciones web. Esto fue identificado y visto por primera vez en octubre de 2016 en Australia. Se estima que Trickbot es operado y administrado por un grupo de personas con alcance global. Además, son inteligentes, ya que han atacado a través de diferentes técnicas, es decir, redirección el 40 % de las veces y han dejado el 60 % para inyecciones web. Es un patrón que se ha visto en 40 países ahora.

Este malware se envía a los usuarios a través de correos electrónicos de phishing, pero también han comenzado a explorar otras prácticas de distribución, como sitios web falsos. En tales casos, operan principalmente a través de inyecciones web.

Trickbot
Fuente: – trendmicro

Inyecciones Web

El navegador web está infectado por el malware, que controla cada sitio web que visita. Todo permanece intacto hasta que visite un sitio web bancario. El objetivo principal de los atacantes es phishing a los usuarios a través de los sitios web bancarios, donde tan pronto como el usuario visita cualquiera de los sitios web bancarios, se intercepta un código a través de la red para robar la información personal y las credenciales ingresadas.

Lo que es más preocupante en las inyecciones web es que no se puede saber nada con solo mirar los sitios web porque no es el sitio web el que está infectado sino el navegador web. En este escenario, ¿cómo podemos identificar actividades anormales? Bueno, nadie puede hacerlo a menos que vaya al código fuente de la página bancaria.

Si su navegador no está infectado, los códigos serán relativamente más pequeños, mientras que si lo está, verá algunas funciones nuevas y extrañas en él. A veces, las funciones adicionales o el conjunto de códigos tienen comentarios que nos informan sobre su funcionalidad, es decir, robar las credenciales e informar a los piratas informáticos sobre lo mismo.

Redirección de URL

Troyano bancario TrickBot

Aunque hay casos en los que se ha utilizado la redirección de URL, esta práctica se está volviendo escasa. La razón detrás es el hecho de que cualquier redirección es identificable. Nuevamente, los piratas informáticos solo pueden crear URL similares y no exactas para redirigir a una persona mientras navega debido a las reglas de registro de nombres de dominio. Y esto se puede detectar si alguien está prestando atención a las URL.

¿Qué hace Trickbot?

Se informa que el malware tiene muchas capacidades maliciosas que incluyen: –

  • Inicie la comunicación entre los dispositivos infectados y el servidor de comando.
  • Robar información confidencial, como credenciales bancarias, información personal, etc., explotando las sesiones de navegación web.
  • Recopile información detallada sobre las máquinas y redes afectadas.
  • Comprometer las contraseñas de las cuentas que se guardan en línea, las cookies de introspección y el historial web.
  • Amplíe su alcance infectando otras máquinas en la red infectada.
  • Configure otras herramientas para fines maliciosos, como clientes VNC, herramienta de acceso remoto o ransomware.

¿Cómo funciona el troyano Trickbot?

Troyano TrickBot
Fuente: – socprime

Lea también: Emotet Trojan: un troyano bancario que ha evolucionado peligrosamente

Una vez implementado, el troyano bancario TrickBot se duplica en %APPDATA% y elimina la muestra original.

Además, agrega dos archivos llamados client_id y group_tag. Se crean localmente y se utilizan para detectar el bot individual y la operación con la que está asociado. Estos archivos no están encriptados y contienen texto en Unicode.

client_id : incluye el nombre de la máquina infectada, la versión del sistema operativo y una cadena generada aleatoriamente.

La carpeta contiene un archivo llamado config.conf. Se descarga a través del servidor Command & Control (C&C) y se codifica.

Nota : los atacantes cibernéticos utilizan C&C o C2 para administrar las comunicaciones con las máquinas infectadas dentro de una red infectada.

Se genera una carpeta conocida como Módulos en %APPDATA%. Otros archivos descargados a través de C&C son injectDll32 y systeminfo32.

injectDll32 : es un módulo bancario que inyecta archivos DLL dentro de los navegadores de destino para iniciar el robo de credenciales

systeminfo32 : se utiliza para recopilar información general del sistema

Estos archivos también están codificados. Además, la lista de navegadores de destino está codificada dentro de injectDll32.dll. TrickBot lo hace efectivo al acumularse como una tarea en el Programador de tareas de Windows. La tarea simplemente se llama 'Bot' y no se intenta ocultar esta tarea. Sin embargo, si intenta eliminar la tarea, el motor del Programador de tareas la reinicia automáticamente.

Red de comunicacion

El malware TrickBot se comunica con diferentes servidores. Al principio, se comunica con un servidor válido para obtener una IP visible. Sorprendentemente, consume su propio Agente de usuario, es decir, TrickLoader o BotLoader, y no intenta enmascararse como un navegador auténtico. Pero la mayor parte de la comunicación de TrickBot con el centro de comando y control está cifrada con SSL.

client_id y group_id, se usan en la URL de la solicitud POST seguida de la id del comando. Este fue un rasgo observado en el malware Dyreza. Además, se carga una carga útil adicional sin cifrar el tráfico de red. Los C&C se instalan en enrutadores inalámbricos comprometidos, es decir, MikroTik. Esta es otra característica común entre Dyreza y TrickBot. Otra cosa extraña de TrickBot es que ni siquiera intenta copiar nombres que parezcan auténticos para los certificados HTTP. Incluyen datos completamente aleatorios. Por ejemplo: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Síntomas de que su sistema está afectado

Los usuarios de terminales no verán ningún cambio, pero el administrador de la red sí. El síntoma cambiará en el tráfico o los esfuerzos para llegar a las URL restringidas y las IP en la lista negra. Esto sucede porque el malware intenta reenviar los datos a los piratas informáticos. Intenta retirar datos y recibir tareas del servidor de Control y Comando (C&C).

Secuelas

Como este troyano utiliza la vulnerabilidad EternalBlue, se centrará en afectar a toda la red, no solo a una máquina. Esto implica que una vez que su red se ve afectada, no hay salida. Puede limpiar una máquina en particular, pero no toda la red. Hasta cierto punto, aislar las máquinas infectadas y trabajar para eliminar este troyano podría ser efectivo.

Aquí hay algunos pasos que puede seguir si las máquinas de la red se ven afectadas: –

  1. Detectar máquinas infectadas.
  2. Aislarlos de la red.
  3. Usa el parche para EternalBlue.
  4. Restringir las acciones administrativas.
  5. Bloquee archivos adjuntos con varias extensiones de archivo como:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Elimina el troyano bancario TrickBot.
  2. Cambiar las credenciales de la cuenta.

Debe leer: IcedID Nuevo troyano bancario

El veredicto final

Este es altamente peligroso no solo por su agresividad sino también por su constante evolución. Los operadores de este troyano bancario también han comenzado a apuntar a usuarios en correos electrónicos de Outlook, datos de navegación e incluso criptomonedas. ¡Necesitamos idear un mecanismo de defensa pronto si no queremos que nuestras billeteras y cuentas se vacíen!