Se observó un aumento en la actividad de TrueBot en mayo de 2023, revelaron los investigadores de ciberseguridad.
«TrueBot es una botnet troyana de descarga que utiliza servidores de comando y control para recopilar información sobre sistemas comprometidos y utiliza ese sistema comprometido como punto de lanzamiento para nuevos ataques», dijo Fae Carlisle de VMware.
Activo desde al menos 2017, TrueBot está vinculado a un grupo conocido como Silence que se cree que comparte superposiciones con el notorio actor ruso de delitos cibernéticos conocido como Evil Corp.
Las infecciones recientes de TrueBot han aprovechado una falla crítica en el auditor Netwrix (CVE-2022-31199, puntuación CVSS: 9, así como en Raspberry Robin como vectores de entrega.
La cadena de ataque documentada por VMware, por otro lado, comienza con una descarga drive-by-download de un ejecutable llamado «update.exe» de Google Chrome, lo que sugiere que los usuarios son atraídos a descargar el malware bajo el pretexto de una actualización de software.
Una vez ejecutada, actualiza.exe establece conexiones con una dirección IP TrueBot conocida ubicada en Rusia para recuperar un ejecutable de segunda etapa («3ujwy2rz7v.exe») que posteriormente se inicia mediante el símbolo del sistema de Windows.
El ejecutable, por su parte, se conecta a un dominio de comando y control (C2) y filtra información confidencial del host. También es capaz de enumerar procesos y sistemas.
«TrueBot puede ser una infección particularmente desagradable para cualquier red», dijo Carlisle. «Cuando una organización está infectada con este malware, puede escalar rápidamente para convertirse en una infección más grande, similar a cómo el ransomware se propaga a través de una red».
Los hallazgos se producen cuando SonicWall detalló una nueva variante de otro malware descargador conocido como GuLoader (también conocido como CloudEyE) que se utiliza para entregar una amplia gama de malware como Agent Tesla, Azorult y Remcos.
«En la última variante de GuLoader, introduce nuevas formas de plantear excepciones que dificultan el proceso de análisis completo y su ejecución en un entorno controlado», dijo SonicWall.
Fuente y redacción: underc0de.org