Los investigadores de ciberseguridad han abierto la tapa sobre el resurgimiento continuo del insidioso malware Trickbot , dejando en claro que el grupo transnacional de ciberdelincuencia con sede en Rusia está trabajando entre bastidores para renovar su infraestructura de ataque en respuesta a los recientes esfuerzos de las fuerzas del orden.
«Las nuevas capacidades descubiertas se utilizan para monitorear y recopilar inteligencia sobre las víctimas, utilizando un protocolo de comunicación personalizado para ocultar las transmisiones de datos entre los servidores [de comando y control] y las víctimas, lo que hace que los ataques sean difíciles de detectar», dijo Bitdefender en un escrito técnico. up publicado el lunes, lo que sugiere un aumento en la sofisticación de las tácticas del grupo.
«Trickbot no muestra signos de desaceleración», anotaron los investigadores.
Las botnets se forman cuando cientos o miles de dispositivos pirateados se incorporan a una red administrada por operadores criminales, que a menudo se utilizan para lanzar ataques de denegación de red para golpear empresas e infraestructura crítica con tráfico falso con el objetivo de dejarlos fuera de línea. Pero con el control de estos dispositivos, los actores malintencionados también pueden usar botnets para difundir malware y spam, o para implementar ransomware de cifrado de archivos en las computadoras infectadas.
Trickbot no es diferente. La notoria banda de delitos informáticos detrás de la operación, apodada Wizard Spider , tiene un historial de explotación de las máquinas infectadas para robar información confidencial, pivotar lateralmente a través de una red e incluso convertirse en un cargador de otro malware, como ransomware , mientras mejora constantemente su infección. cadenas agregando módulos con nueva funcionalidad para aumentar su efectividad.
«TrickBot ha evolucionado para utilizar una infraestructura compleja que compromete servidores de terceros y los utiliza para alojar malware», reveló Black Lotus Labs de Lumen en octubre pasado. «También infecta dispositivos de consumo como enrutadores DSL, y sus operadores criminales rotan constantemente sus direcciones IP y hosts infectados para hacer que la interrupción de su crimen sea lo más difícil posible».
Desde entonces, la botnet ha sobrevivido a dos intentos de eliminación por parte de Microsoft y el Cyber Command de EE. UU., Con los operadores desarrollando componentes de intromisión de firmware que podrían permitir a los piratas informáticos colocar una puerta trasera en la Interfaz de firmware extensible unificada (UEFI), lo que le permite evadir la detección de antivirus, software actualizaciones, o incluso una limpieza total y reinstalación del sistema operativo de la computadora.
Ahora, según Bitdefender, se ha descubierto que el actor de amenazas está desarrollando activamente una versión actualizada de un módulo llamado «vncDll» que emplea contra objetivos seleccionados de alto perfil para el monitoreo y la recopilación de inteligencia. La nueva versión se ha denominado «tvncDll».
El nuevo módulo está diseñado para comunicarse con uno de los nueve servidores de comando y control (C2) definidos en su archivo de configuración, usándolo para recuperar un conjunto de comandos de ataque, descargar más cargas útiles de malware y exfiltrar recopilado de la máquina de regreso a el servidor. Además, los investigadores dijeron que identificaron una «herramienta de visualización», que los atacantes utilizan para interactuar con las víctimas a través de los servidores C2.
Si bien los esfuerzos para aplastar las operaciones de la pandilla pueden no haber sido del todo exitosos, Microsoft le dijo a The Daily Beast que trabajó con proveedores de servicios de Internet (ISP) para ir de puerta en puerta reemplazando enrutadores comprometidos con el malware Trickbot en Brasil y América Latina, y que efectivamente desconectó la infraestructura de Trickbot en Afganistán.