Trickbot: el malware bancario de Windows

Observado por primera vez en 2016, TrickBot es el sucesor del troyano bancario Dyre y se ha convertido en una de las cepas de malware más frecuentes y peligrosas en el panorama de amenazas actual.

TrickBot evoluciona continuamente a medida que sus desarrolladores agregan nuevas funciones y trucos. Es modular, con un bot binario principal que carga otros complementos capaces de realizar tareas específicas, con la introducción de nuevos módulos y la mejora de los antiguos a intervalos regulares.

Voy a explicarte aquí en qué consiste este malware, cómo funciona, cómo puedes evitar ser infectado por Trickbot y cómo actuar en caso de ser infectado.

¿Qué es Trickbot?

TrickBot es un troyano bancario modular que apunta a información confidencial y actúa como un gotero para otro malware. Desde junio de 2019, se observa una relación cada vez más estrecha entre las infecciones iniciales de TrickBot y los eventuales ataques de ransomware Ryuk.

Los autores de malware lanzan continuamente nuevos módulos y versiones de TrickBot para expandir y refinar sus capacidades. TrickBot utiliza ataques de hombre en medio en el navegador para robar información financiera, como credenciales de inicio de sesión para sesiones de banca en línea. Además, algunos de los módulos de TrickBot abusan del Protocolo de bloqueo de mensajes del servidor (SMB) para propagar el malware lateralmente a través de una red.

TrickBot se difunde a través de campañas de spam. Estas campañas envían correos electrónicos no solicitados que dirigen a los usuarios a descargar malware de sitios web maliciosos o engañan al usuario para que abra malware a través de un archivo adjunto. TrickBot también es eliminado como una carga secundaria por otro malware, especialmente por Emotet.

Las campañas de spam que ofrecen TrickBot utilizan marcas de terceros conocidas para el destinatario, como las facturas de las empresas contables y financieras. Los correos electrónicos generalmente incluyen un archivo adjunto, como un documento de Microsoft Word o Excel. El archivo adjunto abierto solicitará al usuario que habilite las macros, que ejecutan un VBScript para ejecutar un script de PowerShell para descargar el malware.

TrickBot realiza comprobaciones para asegurarse de que no está en un entorno de espacio aislado y luego intenta deshabilitar los programas antivirus, como Windows Defender de Microsoft. Una vez ejecutado, TrickBot se vuelve a desplegar en la carpeta «% AppData%» y crea una tarea programada que proporciona persistencia.

¿Cómo funciona?

TrickBot envía solicitudes HTTP a los distintos sitios web para determinar la dirección IP pública del host infectado.

En este punto, TrickBot comienza a recibir instrucciones del servidor de comando y control (C2) y está listo para descargar módulos, que se envían con un archivo de configuración. Los módulos se entregan como bibliotecas de enlaces dinámicos (DLL).

Después de recibir la información del sistema del host infectado, el TrickBot C2 inicial envía un tiempo de vencimiento y una nueva dirección IP que se utilizará para descargar más módulos. Los servidores C2 cambian constantemente y la infección TrickBot se actualiza con esta nueva información. TrickBot utiliza solicitudes HTTP / HTTPS GET y POST para descargar módulos e informar credenciales robadas al servidor C2.

TrickBot utiliza dos tipos de inyecciones web para robar información financiera de las sesiones de banca en línea para defraudar a sus víctimas:

  • Ataques de redireccionamiento: se envía a las víctimas a réplicas fraudulentas de sitios bancarios cuando navegan a ciertos sitios web bancarios. Este sitio web falso está alojado en el servidor del actor de ciberamenaza y recoge la información de inicio de sesión de la víctima.
  • Inyección del lado del servidor: intercepta la respuesta del servidor de un banco y la redirige al servidor del ciberdelincuente. Este servidor inyecta código adicional en la página web antes de devolverlo al cliente. El hacker luego puede robar las credenciales bancarias de la víctima a través de la captura de formularios. La captura de formularios registra información confidencial escrita en formularios HTML, como nombres de usuario y contraseñas.

Los distribuidores de TrickBot están utilizando etiquetas de grupo (gtags) para identificar de manera única campañas específicas de TrickBot. El gtag y un identificador de bot único se incluyen en los Identificadores Uniformes de Recursos cuando TrickBot se comunica con sus servidores C2.

Los módulos de TrickBot realizan tareas para robar información bancaria, reconocimiento de sistemas / redes, recolección de credenciales y propagación de redes.

La siguiente es una descripción general de los módulos y archivos de configuración comunes de TrickBot, pero esta no es una lista exhaustiva ya que TrickBot agrega constantemente nuevas características.

Ladrones de información bancaria

  • LoaderDll / InjectDll: monitoriza la actividad del sitio web bancario y utiliza inyecciones web (por ejemplo, ventanas emergentes y campos adicionales) para robar información financiera.
  • Sinj: este archivo contiene información sobre los bancos en línea a los que apunta TrickBot y utiliza ataques de redireccionamiento (también conocidos como inyecciones falsas web).
  • Dinj: este archivo contiene información sobre los bancos en línea a los que apunta TrickBot y utiliza inyecciones web del lado del servidor.
  • Dpost: incluye una dirección IP y un puerto para la información bancaria robada. Si el usuario ingresa información bancaria de uno de los bancos listados, la información se envía a la dirección IP dpost. La mayoría de los datos extraídos por TrickBot se envían a la dirección IP dpost.

Reconocimiento de sistema/red

  • Systeminfo: recoge la información del sistema para que el atacante sepa lo que se está ejecutando en el sistema afectado.
  • Mailsearcher: compara todos los archivos del disco con una lista de extensiones de archivo.
  • NetworkDll: recopila más información del sistema y asigna la red.

Credencial y recolección de información del usuario

  • ModuleDll / ImportDll: recoge datos del navegador (por ejemplo, cookies y configuraciones del navegador).
  • DomainDll: utiliza LDAP para recopilar credenciales y datos de configuración del controlador de dominio accediendo a archivos SYSVOL compartidos.
  • OutlookDll: Harvests guardó las credenciales de Microsoft Outlook al consultar varias claves de registro.
  • SqulDll: Force habilita la autenticación WDigest y utiliza Mimikatz para eliminar las credenciales de LSASS.exe. Los módulos de gusanos utilizan estas credenciales para difundir TrickBot lateralmente a través de las redes.
  • Pwgrab: roba credenciales, datos de autocompletar, historial y otra información de los navegadores, así como varias aplicaciones de software.

Propagación de red

  • WormDll y ShareDll : estos son módulos antiparasitarios que abusan de Server Message Block (SMB) y Lightweight Directory Access Protocol (LDAP) para moverse lateralmente a través de las redes.
  • TabDll: utiliza el exploit EternalRomance (CVE-2017-0147) para propagarse a través de SMBv1.

Cómo prevenir infecciones por Trickbot

Para ayudar a prevenir las infecciones por TrickBot, sigue estos consejos:

  • Proporciona capacitación en ingeniería social y phishing a los empleados.
  • Si no tienes una política con respecto a los correos electrónicos sospechosos, considera crear una y especifica que todos los correos electrónicos sospechosos se deben informar a los departamentos de seguridad y / o de TI.
  • Marca los correos electrónicos externos con un banner que indique que proviene de una fuente externa. Esto ayudará a los usuarios a detectar correos electrónicos falsificados.
  • Aplica los parches y actualizaciones inmediatamente después de las pruebas apropiadas.
  • Implementa filtros en la puerta de enlace de correo electrónico para correos electrónicos con indicadores conocidos de correo no deseado, como líneas de asunto maliciosas conocidas, y bloquea direcciones IP sospechosas en el firewall.
  • Para reducir la posibilidad de correos electrónicos falsificados o modificados, implementa la política y verificación de Informes de autenticación de mensajes de dominio (DMARC) y verificación, comenzando por la implementación del Marco de políticas de remitente y los estándares de Correo identificado de DomainKeys (DKIM).
  • Las organizaciones deberían considerar el uso de la tecnología de listas blancas de aplicaciones en todos los activos para garantizar que solo se ejecute el software autorizado y que se bloquee la ejecución de todo el software no autorizado en los activos. Las organizaciones también deben asegurarse de que el software de la lista blanca de aplicaciones solo permita que se ejecuten scripts autorizados, firmados digitalmente en un sistema.
  • Adhiérete al principio de menor privilegio, asegurando que los usuarios tengan el nivel mínimo de acceso requerido para cumplir con sus obligaciones. Limita las credenciales administrativas a los administradores designados.
  • Implementa una solución antimalware actualizada y administrada centralmente. Además de las valiosas capacidades preventivas y correctivas, los controles de detección proporcionados por el software antimalware son beneficiosos para dar a conocer cualquier amenaza que pueda activarse en el entorno.
  • Si aún no se ha hecho, considera implementar un Sistema de detección de intrusos (IDS) para detectar la actividad de comando y control (C2) y otra actividad de red potencialmente maliciosa.
  • Asegúrate de que los sistemas se refuercen con las pautas aceptadas por la industria.
  • Deshabilita el uso de SMBv1 en la red y requiere al menos SMBv2 para fortalecer los sistemas contra los módulos de propagación de red utilizados por TrickBot.

¿Qué hacer en caso de ser infectado por Trickbot?

Si se identifica una infección por TrickBot, puedes hacer lo siguiente:

  • Inhabilita el acceso a Internet en el sitio afectado para ayudar a minimizar el alcance de la filtración de credenciales asociadas con recursos externos de terceros.
  • Revisa las subredes afectadas para identificar los sistemas de alojamiento múltiple que pueden afectar negativamente los esfuerzos de contención. Además, considera desconectar temporalmente la red para realizar la identificación, evitar reinfecciones y detener la propagación del malware.
  • Identifica, apaga y retira las máquinas infectadas de la red.
  • Aumenta la supervisión de la comunicación SMB o bloquea directamente entre estaciones de trabajo y configura las reglas de firewall para permitir solo el acceso desde servidores administrativos conocidos.
  • Evalúa la necesidad de tener puertos 445 (SMB) abiertos en los sistemas y, si es necesario, considera limitar las conexiones solo a hosts específicos y confiables.
  • Comienza con la remediación de sistemas de alojamiento múltiple, ya que estos pueden comunicarse a través de redes de área local virtuales (VLAN) y pueden ser un medio potencial para propagar malware.
  • Crea VLAN limpias que no tengan acceso a las VLAN infectadas. Después de que los sistemas se hayan reimpreso o restaurado desde una copia de seguridad buena conocida, colócalos en la VLAN limpia.
  • No inicies sesión en sistemas infectados con dominio o cuentas de administrador local compartidas. Esta es la mejor estrategia de reparación ya que TrickBot tiene varias formas de obtener acceso a las credenciales.
  • Como TrickBot es conocido por eliminar tanto las credenciales de dominio como las locales, se recomienda restablecer la contraseña en toda la red. Esto se hace mejor después de que los sistemas se hayan limpiado y trasladado a la nueva VLAN. Esto se recomienda para que el malware no elimine las contraseñas nuevas.
  • Aplica aislamiento basado en host a través de Objetos de directiva de grupo (GPO) de Firewall de Windows, sistema de detección de intrusión basado en host / productos de sistema de detección de intrusión de red (HIDS / NIDS), una Red de área local virtual privada (pVLAN) o medios similares para ayudar a mitigar la propagación.
  • Determina el vector de infección (paciente cero) para determinar la causa raíz del incidente.

Últimas apariciones de TrickBot

La actualización de TrickBot se produjo en marzo de 2018, cuando los piratas informáticos mejoraron el código al hacer que su detección y defensa fueran más complicadas. También se ha utilizado para proporcionar capacidades de bloqueo de pantalla, funcionando de manera similar al ransomware. Sin embargo, parece que este aspecto del virus aún no está completamente desarrollado, ya que el módulo que está destinado a cifrar archivos no cumple su objetivo.

En mayo del mismo año, los investigadores de seguridad notaron una colaboración de dos virus: TrickBot e IcedID. Si bien la mayoría de los troyanos generalmente eliminarían el malware instalado previamente, los autores de estas amenazas maliciosas decidieron trabajar juntos y compartir ganancias. Aparentemente, las computadoras infectadas con IcedID también fueron inyectadas con TrickBot, haciendo que la operación del malware sea mucho más eficiente.

En junio de 2018, TrickBot se dirigió a ciudadanos del Reino Unido, enviándoles correos electrónicos falsos de HM Revenue & Customs, que afirmaban que hay una cantidad pendiente de dinero que las víctimas deben devolver. Luego se solicitó a los usuarios que hicieran clic en un enlace malicioso o en el archivo adjunto, que entregaba el malware TrickBot.

En 2019, Trickbot fue visto en varias campañas que también estaban infectando a los usuarios con amenazas como el ransomware Ryuk o Emotet. En verano, más de 250 millones de cuentas de correo electrónico se vieron comprometidas por el malware, enviando spam a otros objetivos en todo el mundo.

Además, los expertos en seguridad también notaron varias actualizaciones de TrickBot durante 2019, incluido su módulo «TrichBooster» que permite la explotación de la vulnerabilidad SMB (Server Message Block) para enviar spam y evitar que la detección elimine los correos electrónicos enviados de la bandeja de salida.

Durante la pandemia de COVID-19 de 2020, TrickBot también se ha usado en correos electrónicos no deseados con temática de coronavirus, donde los atacantes usan la OMS (Organización Mundial de la Salud) y otras entidades. Los expertos en seguridad advierten a las organizaciones que más variaciones de correos electrónicos de phishing están dirigidas a empresas y negocios con TrickBot y otro malware.