Hace exactamente cinco años, en octubre del 2016, nuestras soluciones encontraron por primera vez un troyano llamado Trickbot (también conocido como TrickLoader o Trickster). Por aquel entonces, se encontraba principalmente en los ordenadores domésticos y su tarea principal era robar las credenciales de inicio de sesión para los servicios de banca online. Sin embargo, en los últimos años, sus creadores han transformado de forma activa el troyano bancario en una herramienta modular multifuncional.
Además, Trickbot ahora es popular entre los grupos de ciberdelincuentes como un vehículo de entrega para inyectar malware de terceros en la infraestructura corporativa. Los medios ya se han hecho eco de que los autores de Trickbot se han aliado con varios socios nuevos con el fin de utilizar el malware para infectar la infraestructura corporativa con todo tipo de amenazas adicionales, como el ransomware Conti.
Este cambio de uso podría representar un peligro adicional para los empleados de los centros de operación de seguridad y otros expertos en ciberseguridad. Algunas soluciones de seguridad aún reconocen Trickbot como un troyano bancario, de acuerdo con su especialidad original. Por lo tanto, los especialistas en ciberseguridad que lo detecten podrían verlo como una amenaza aleatoria al usuario doméstico que por accidente ha caído en la red corporativa. De hecho, su presencia podría indicar algo mucho más serio: un intento de inyección de ransomware o incluso parte de una operación de ciberespionaje dirigido.
Nuestros expertos pudieron descargar módulos del troyano de uno de sus servidores de mando y control y los analizaron a fondo.
Las funciones de Trickbot
El objetivo principal del actual Trickbot es penetrar y propagarse en las redes locales. Sus operadores pueden utilizarlo para varias tareas, desde revender los accesos a la infraestructura corporativa a otros atacantes, hasta robar información confidencial. Todo esto es lo que el malware puede hacer:
- Recopilar nombres de usuario, hashes para contraseñas y otra información útil para el movimiento lateral en la red desde el Active Directory y el registro.
- Interceptar el tráfico de Internet en el ordenador infectado.
- Proporcionar control remoto de dispositivos mediante el protocolo VNC.
- Robar cookies de los navegadores.
- Extraer las credenciales de inicio de sesión desde el registro, las bases de datos de varias aplicaciones y los archivos de configuración, así como robar claves privadas, certificados SSL y archivos de datos para monederos de criptomoneda.
- Interceptar datos de autorrelleno desde los navegadores y la información que los usuarios introducen en los formularios de los sitios web.
- Escanear los archivos en los servidores FTP y SFTP.
- Incrustar scripts maliciosos en páginas web.
- Redirigir el tráfico del navegador a través de un proxy local.
- Secuestrar la API responsable de la verificación de la cadena del certificado para falsificar los resultados de la verificación.
- Recopilar credenciales del perfil de Outlook, interceptar correos electrónicos y enviar spam mediante ellos.
- Buscar el servicio OWA y entrar a la fuerza.
- Obtener acceso de bajo nivel al hardware.
- Proporcionar acceso al ordenador a nivel de hardware.
- Escanear los dominios para vulnerabilidades.
- Encontrar direcciones de servidores SQL y ejecutar consultas de búsqueda en ellos.
- Esparcirse mediante los exploits EternalRomance y EternalBlue.
- Crear conexiones VPN.
Para una descripción detallada de los módulos e indicadores de compromiso, visita nuestra publicación de Securelist.
Cómo protegerse contra el troyano Trickbot
La estadística muestra que la mayoría de las detecciones de Trickbot de este año se han registrado en los Estados Unidos, Australia, China, México y Francia. Sin embargo, esto no significa que el resto de las regiones estén a salvo, sobre todo si tenemos en cuenta la disponibilidad de sus creadores para colaborar con otros ciberdelincuentes.
Para evitar que tu empresa caiga en las garras de este troyano, te recomendamos que equipes todos los dispositivos con acceso a Internet con una solución de seguridad de alta calidad. Además, siempre es una buena idea utilizar servicios de supervisión de ciberamenazas para detectar actividad sospechosa en la infraestructura de la empresa.