malware

Los operadores de delitos cibernéticos detrás del notorio malware TrickBot una vez más han subido la apuesta al afinar sus técnicas mediante la adición de múltiples capas de defensa para burlar los productos antimalware.

“Como parte de esa escalada, las inyecciones de malware se han equipado con protección adicional para mantener alejados a los investigadores y pasar los controles de seguridad”, dijo IBM Trusteer en un informe. «En la mayoría de los casos, estas protecciones adicionales se han aplicado a las inyecciones utilizadas en el proceso de fraude bancario en línea, la principal actividad de TrickBot desde su creación después de la desaparición del troyano Dyre «.

TrickBot , que comenzó como un troyano bancario, ha evolucionado hasta convertirse en un software delictivo como servicio (CaaS) multipropósito que es empleado por una variedad de actores para entregar cargas útiles adicionales, como ransomware. Hasta la fecha, se han identificado más de 100 variaciones de TrickBot, una de las cuales es un módulo » Trickboot » que puede modificar el firmware UEFI de un dispositivo comprometido.

En el otoño de 2020, Microsoft, junto con un puñado de agencias gubernamentales de EE. UU. y empresas de seguridad privada, se unieron para abordar la red de bots TrickBot , eliminando gran parte de su infraestructura en todo el mundo en un intento por obstaculizar sus operaciones.

Pero TrickBot ha demostrado ser inmune a los intentos de eliminación, ya que los operadores ajustaron rápidamente sus técnicas para propagar malware de múltiples etapas a través de ataques de phishing y malspam, sin mencionar la expansión de sus canales de distribución al asociarse con otros afiliados como Shathak (también conocido como TA551) para aumentar la escala y generar ganancias.

Software malicioso TrickBot

Más recientemente, las campañas de malware que involucran a Emotet se han aprovechado de TrickBot como un «servicio de entrega», desencadenando una cadena de infección que deja caer la herramienta de post-explotación Cobalt Strike directamente en los sistemas comprometidos. Hasta diciembre de 2021, TrickBot infectó a unas 140 000 víctimas en 149 países.

Las nuevas actualizaciones observadas por IBM Trusteer se relacionan con las inyecciones web en tiempo real utilizadas para robar credenciales bancarias y cookies del navegador. Esto funciona dirigiendo a las víctimas a dominios de réplica cuando intentan navegar a un portal bancario como parte de lo que se llama un ataque de hombre en el navegador (MitB).

También se pone en uso un mecanismo de inyección del lado del servidor que intercepta la respuesta del servidor de un banco y la redirige a un servidor controlado por el atacante, que, a su vez, inserta código adicional en la página web antes de que se reenvíe al cliente.

«Para facilitar la obtención de la inyección correcta en el momento adecuado, el malware TrickBot residente utiliza un descargador o un cargador de JavaScript (JS) para comunicarse con su servidor de inyección», dijo Michael Gal, investigador de seguridad web de IBM.

Otras líneas de defensa adoptaron la última versión de TrickBot que muestra el uso de comunicaciones HTTPS encriptadas con el servidor de comando y control (C2) para obtener inyecciones; un mecanismo anti-depuración para frustrar el análisis; y nuevas formas de ofuscar y ocultar la inyección web, incluida la adición de código redundante y la incorporación de representación hexadecimal para inicializar variables.

Específicamente, al detectar cualquier intento realizado para embellecer el código, la función anti-depuración de TrickBot activa una sobrecarga de memoria que colapsaría la página, impidiendo efectivamente cualquier examen del malware.

«El troyano TrickBot y la pandilla que lo opera han sido un elemento básico del crimen cibernético desde que asumieron el control cuando su predecesor, Dyre, quebró en 2016», dijo Gal. «TrickBot no ha descansado ni un día. Entre los intentos de derribo y una pandemia global, ha diversificado sus modelos de monetización y se ha fortalecido».

Fuente y redacción: thehackernews.com

Compartir