Como parte de la evolución continua del malware, el investigador de seguridad Sandor Nemes descubrió un nuevo módulo TrickBot llamado 'ADll' que ejecuta una variedad de comandos de Windows que permiten al troyano robar una base de datos de Active Directory de Windows.
Troyano TrickBot es una seria amenaza para la privacidad del usuario ya que su objetivo principal es robar las credenciales de inicio de sesión de los usuarios para sitios web de banca en línea, cuentas de Paypal, billeteras de criptomonedas y otras cuentas financieras y personales. TrickBot generalmente se descarga e instala en una computadora a través de otro malware. Este malware más común que instala TrickBot es Emotet , que se distribuye a través del correo no deseado con archivos adjuntos de documentos de Word maliciosos.
TrickBot logra la recolección de correos electrónicos y credenciales utilizando la herramienta Mimikatz, la cual está dentro de sus nuevas capacidades. TrickBot se entrega en varios módulos diferentes y un archivo de configuración. Cada uno de los módulos cumple una tarea específica, como garantizar la propagación y persistencia del malware, robar credenciales, etc. Para evitar la detección, los módulos maliciosos se inyectan en procesos legítimos, incluido svchost.
| Producto | Versión |
|---|---|
| Windows |
7 8 8.1 10 |