Según el descubrimiento de los investigadores de seguridad, el malware Trickbot se ha actualizado con sus capacidades para evadir la detección y bloquear las computadoras de las víctimas.
El malware se dirige a los clientes de los principales bancos. Según un blog publicado por investigadores de Webroot, el Trickbot actualizado “ha sufrido actualizaciones y cambios en los intentos de mantenerse un paso por delante de los defensores”.
Los investigadores de seguridad de la información dijeron que observaron un módulo (tabDll32 / tabDll64) que TrickBot estaba descargando y que no se había visto antes en ese momento. Sin embargo, el malware aún utiliza la vulnerabilidad MS17-010 Eternalblue.
El nuevo módulo llamado spreader_x86.dll, exporta cuatro funciones como los otros módulos TrickBot. “El archivo tiene una sección de rdata anormalmente grande que resulta ser bastante interesante porque contiene dos archivos adicionales destinados a ser utilizados por spreader_x86.dll. El módulo spreader contiene un ejecutable adicional SsExecutor_x86.exe y un módulo adicional screenLocker_x86.dll “, dijeron los investigadores de seguridad de la información.
De acuerdo con Jason Davison, analista de investigación avanzada de amenazas, el módulo screenLocker_x86.dll intenta bloquear la máquina de un usuario. “De manera similar, para los otros módulos TrickBot, este módulo fue escrito en Delphi. Esta es la primera vez que TrickBot muestra algún intento de “bloquear” la máquina de las víctimas “, dijo.
Si los desarrolladores de TrickBot están intentando completar esta funcionalidad de bloqueo, esto genera una especulación interesante en torno al modelo de negocio del grupo. “Bloquear la computadora de la víctima antes de que pueda robar sus credenciales bancarias alerta a la víctima de que está infectada, lo que limita el potencial de robo bancario o con tarjeta de crédito. Sin embargo, extorsionar a las víctimas para que desbloqueen su computadora es un plan de monetización mucho más simple “, dijo.
Fue notable que esta funcionalidad de bloqueo solo se implemente después del movimiento lateral, lo que significa que se usaría principalmente para apuntar a redes corporativas sin parchear.
“En un entorno corporativo (con máquinas sin parches) es muy probable que las copias de seguridad no existan también. Los autores parecen estar conociendo a su público objetivo y la mejor forma de extraerles dinero. En una red corporativa, donde es improbable que los usuarios visiten regularmente URL bancarias específicas, la exfiltración de credenciales bancarias es un modelo de generación de dinero menos exitoso en comparación con el bloqueo de potencialmente cientos de máquinas “, dijo el analista de seguridad de la información.
Los autores de TrickBot continúan apuntando a varias instituciones financieras en todo el mundo, utilizando exploits MS17-010 en un intento de moverse lateralmente con éxito a través de la red de la víctima. “Esto se está acoplando con un módulo inacabado de” screenLocker “en un nuevo intento posible de extorsionar a las víctimas”.
Davison advirtió que el troyano bancario TrickBot sigue bajo desarrollo y pruebas constantes en un esfuerzo constante por parte de sus desarrolladores para mantenerse un paso adelante.
Andy Norton, director de inteligencia de amenazas de Lastline, dijo que no son solo las instituciones financieras las que se dirigen, sino que son los clientes de las instituciones financieras y la función de finanzas los que siempre se enfocan. “La razón es, una vez más, que los malos están más cerca del dinero. El efecto secundario de tener múltiples cargas útiles para maximizar las posibilidades de ganar dinero es que, desde una perspectiva de alerta de análisis del comportamiento, estas amenazas se iluminan como un árbol de Navidad. Agregar el análisis dinámico o de comportamiento a la estrategia de defensa de una organización en profundidad protegerá a las organizaciones de este tipo de amenazas “, dijo el investigador de seguridad de la información.
Matt Walmsley, director de EMEA en Vectra, dijo que el uso de Trickbot de un gusano de red significa que se está extendiendo como un reguero de pólvora a través de sistemas vulnerables.
“Si bien hay soluciones técnicas que uno puede tomar alrededor de la configuración de SMB v1 para tratar de mitigar contra Trickbot, la mayoría de las empresas permanecen ciegas en términos de detectar ataques activos dentro de su red a medida que se mueven lateralmente. Y, por supuesto, el viejo adagio de parche, parche, parche aún suena cierto. Incluso en los servicios financieros que suelen tener un alto nivel de madurez de seguridad, la detección y el aislamiento son la clave, pero hacerlo de manera crítica en el tiempo está más allá de la capacidad de búsqueda manual de amenazas. Si quiere adelantarse al ataque, es imperativo detectar los primeros indicadores, y ese es un trabajo que se realiza mejor utilizando técnicas automáticas de detección de amenazas con inteligencia artificial “, dijo.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
