Nueva versión de “TrickBot” ahora ataca a Windows Defender

Investigadores de MalwareHunterTeam y Vitali Kremez, dieron a conocer una nueva versión del troyano bancario “TrickBot”. En esta nueva versión el malware está dirigido a usuarios con Windows Defender en sus sistemas. TrickBot tiene como objetivo robar credenciales bancarias en línea, billeteras de criptomonedas, información del navegador y otras credenciales guardadas en el PC y navegador.

Una vez que la víctima recibe el virus, éste inicia el payload que prepara el sistema al desactivar los servicios y procesos de Windows asociados con el software de seguridad y realizar la elevación de privilegios del sistema. Cuando esto se completa, cargará el componente “núcleo” al inyectar un archivo DLL que luego descarga los módulos utilizados para robar información de la computadora, contiene la capa de comunicación y realiza otras tareas. 

Este tipo de software malicioso genera una constante batalla entre los ciberdelincuente y los desarrolladores de software de seguridad. Ambos buscan la manera de anticiparse al rival y lograr romper las medidas de seguridad o aumentar las barreras de los sistemas, por lo que debemos esperar que durante los próximos meses, este malware continúe robusteciéndose con nuevos métodos y funcionalidades.

Se recomienda lo siguiente:

• Evitar instalar programas de sitios que no sean oficiales.
• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
• Revisar los controles de seguridad de los AntiSpam y SandBoxing
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
• Tener activado el UAC (control de cuentas de usuario) de Windows.