TOP Malware Series: TrickBot

Actualizado: ago 17



¿Que es TrickBot?


Trickbot (también conocido como Trickster, TheTrick o TrickLoader) es un malware de tipo financiero asociado al grupo WIZARD SPIDER, que tiene como objetivo principal el robo de credenciales bancarias. También puede manipular el navegador del equipo infectado para redireccionar a la víctima a páginas web bancarias fraudulentas y la capacidad de evolucionar para cumplir otros trabajos de un troyano, como por ejemplo, la instalación posterior de Ryuk Ransomware. Con el tiempo, paso de ser un troyano bancario a una infraestructura como servicio para otros actores de amenazas.


Trickbot cuenta con un módulo de propagación basado en email conocido como TrickBooster, el que se ejecuta una vez que la amenaza se instala en el equipo enviando correos desde las cuentas comprometidas para luego eliminar los mensajes enviados tanto de la bandeja de salida, como de las carpetas de elementos enviados para evitar ser detectado. Trickbot se distribuye comúnmente en ataques de Spear Phishing y puede aprovechar también vulnerabilidades del protocolo SMB de Windows para propagarse rápidamente a otros computadores dentro de la red local.


Características de TrickBot


  • Recolecta información del sistema, usuarios y la red interna.

  • Desactiva el Antivirus.

  • Despliega inyecciones web y redirecciones fraudulentas.

  • Roba credenciales de acceso de clientes de correo electrónico.

  • Roba credenciales de aplicaciones de escritorio remoto y credenciales almacenadas en el navegador.

  • Desarrolla constantemente nuevas funcionalidades.

  • Posee técnicas de evasión y persistencia vía tareas programadas.

  • Puede descargar e instalar otras amenazas en el equipo que infecta.

  • Utiliza Emotet para descargarse y luego propagarse vía correo electrónico y/o SMB.


Distribución de TrickBot


Trickbot se distribuye a través de campañas de spam que llaman a la acción y que contienen adjuntos o enlaces para la descarga del ejecutable que realiza la instalación.


Trickbot es conocido además por utilizar la infraestructura de Emotet y a su vez, disponer de su propia infraestructura para instalar amenazas de terceros, IaaS.

La secuencia a continuación corresponde el flujo de infección desde un enlace malicioso, que realizara la descarga de un archivo .doc con el código Powershell incrustado que realizara la descarga e instalación de Trickbot.

Desde los inicios de la distribución en el año 2016, Trickbot ha usado diferentes técnicas de ingeniería social y publicidad mal intencionada para que los usuarios descarguen un archivo ejecutable. Principalmente en archivos EXE, MSI, PNG y documentos de ofimática Office.


A continuación, se muestra 2 campañas para expandir Trickbot mediante la necesidad de "Actualizar tu navegador" para entrar al sitio de Office.


Flujo de Infección


El siguiente diagrama representa como es el flujo de infección de Trickbot vía Emotet y con la inyección final de Ryuk ransomware.


Lo que se conoce como la trifecta: EMOTET -> TRICKBOT -> RYUK



Objetivos Geográficos de Trickbot


Según reportes oficiales, Trickbot ha estado presente en múltiples países desde su fecha de descubrimiento. Entre los que están Estados Unidos, China, Brasil, Rumanía, Malasia, Ucrania, Zambia y la India entre muchos otros.



Indicadores de Compromiso


Direcciones IP


36.89.106.69

203.176.135.102

194.5.250.118

134.255.221.55

185.234.72.50

164.132.255.19

202.29.215.114

151.80.212.114

5.188.168.87

217.12.209.244

185.90.61.62

194.5.250.115

131.161.253.190

110.232.76.39

94.250.250.69

31.184.253.37

31.184.253.6

51.89.115.103

190.214.13.2

185.183.98.232


Hashes


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


Dominios


elx01.knas.systems

isns.net

majul.com

qxq.ddns.net

krupskaya.com

m-onetrading-jp.com

thuocnam.tk

bestgame.bazar

girls4finder.com

www.syneosheallth.com

syneosheallth.com

sttgen.com

caatii.com

mlpaa.com

light4body-fatburn.world

www.bloxsploits.com

fnoetwotb4nwob524o.hk

zkc5kelvin.xyz

store.estau.ru

kh.diecastingprocessing.com


CVE usados por TrickBot

CVE-2017-0144

CVE-2017-0147

CVE-2017-0199

CVE-2017-11882

CVE-2018-8174


Recomendaciones de seguridad


  • Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).

  • Mantenga una postura escéptica y desconfíe de mensajes sospechosos.

  • No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.

  • No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).


Artículos relacionados


CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social