Malware Trickbot reaparece más resistente frente a detecciones

Los ciberactores que operan TrickBot continúan sus actividades a pesar de los recientes esfuerzos de eliminación implementando dos actualizaciones que hacen que el malware sea más difícil de eliminar, según la firma de seguridad Bitdefender .

TrickBot

TrickBot es una infección de malware que se instala comúnmente a través de correos electrónicos de phishing maliciosos u otro malware. Una vez instalado, TrickBot se ejecutará silenciosamente en la computadora de la víctima mientras descarga otros módulos para realizar diferentes tareas.

Se sabe que TrickBot finaliza un ataque al dar acceso a los actores de amenazas que implementan el ransomware Ryuk o Conti en la red comprometida.

TrickBot tuvo sus primeras apariciones en 2016 atacando a instituciones financieras como bancos, divisiones de finanzas comerciales y asociados a tarjetas de crédito. Este peligroso malware se especializa en robar listas de correo electrónico y contraseñas de la computadora host para propagarse aún más a través de correos electrónicos no deseados compuestos por troyanos.

En 2019, se descubrió un nuevo módulo TrickBot llamado Cookie Grabber robando información de la base de datos de almacenamiento de cookies de los principales navegadores web, incluidos Chrome, Firefox y Microsoft Edge.

Actualizaciones

Trickbot continúa sus actividades a pesar de los recientes esfuerzos de eliminación, implementando dos actualizaciones que hacen que el malware sea más difícil de eliminar, según la firma de seguridad Bitdefender.

Las últimas versiones de TrickBot evidenciadas se lanzaron el 3 de noviembre y el 18 de noviembre respectivamente con cambios que incluyen el uso de una nueva infraestructura de comando y control basada en enrutadores Mikrotik y solo con módulos empaquetados. Los investigadores creen que esto probablemente indica que los operadores de TrickBot se están alejando de los módulos desempaquetados y están limpiando su lista de módulos de movimiento lateral para usar solo los empaquetados.

También se ha observado que TrickBot ha estado cambiando a BazarLoader como su mecanismo de entrega principal, actualizando el ransomware Ryuk y comenzando a depender con más frecuencia del ransomware Conti para realizar sus ataques.

Hasta ahora, las nuevas versiones se han utilizado en ataques en los EE. UU., Malasia, Rumania, Rusia y Malta, dice Bitdefender.

Desmantelamiento

El reciente "derribo" de TrickBot por Microsoft y otros sólo tuvo un efecto temporal, los niveles de actividad de la botnet ya se han recuperado, según CrowdStrike y otras firmas de seguridad.

"La botnet se interrumpió mediante archivos de configuración; el impacto fue mínimo en términos de longitud, ya que observamos que las configuraciones legítimas se recuperan con relativa rapidez", explica Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike.

Panorama

Los investigadores llamaron a la operación de derribo un esfuerzo "valiente" que tuvo un impacto a corto plazo. Pero el diverso y efectivo conjunto de herramientas de los ciberactores detrás de TrickBot le permite ser resistente, reactivo y resuelto mientras continúa dirigiendo su formidable empresa criminal global.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.