Actualizado: 16 de ago de 2020
¿Que es TrickBot?
Trickbot (también conocido como Trickster, TheTrick o TrickLoader) es un malware de tipo financiero asociado al grupo WIZARD SPIDER, que tiene como objetivo principal el robo de credenciales bancarias. También puede manipular el navegador del equipo infectado para redireccionar a la víctima a páginas web bancarias fraudulentas y la capacidad de evolucionar para cumplir otros trabajos de un troyano, como por ejemplo, la instalación posterior de Ryuk Ransomware. Con el tiempo, paso de ser un troyano bancario a una infraestructura como servicio para otros actores de amenazas.
Trickbot cuenta con un módulo de propagación basado en email conocido como TrickBooster, el que se ejecuta una vez que la amenaza se instala en el equipo enviando correos desde las cuentas comprometidas para luego eliminar los mensajes enviados tanto de la bandeja de salida, como de las carpetas de elementos enviados para evitar ser detectado. Trickbot se distribuye comúnmente en ataques de Spear Phishing y puede aprovechar también vulnerabilidades del protocolo SMB de Windows para propagarse rápidamente a otros computadores dentro de la red local.
Características de TrickBot
- Recolecta información del sistema, usuarios y la red interna.
- Desactiva el Antivirus.
- Despliega inyecciones web y redirecciones fraudulentas.
- Roba credenciales de acceso de clientes de correo electrónico.
- Roba credenciales de aplicaciones de escritorio remoto y credenciales almacenadas en el navegador.
- Desarrolla constantemente nuevas funcionalidades.
- Posee técnicas de evasión y persistencia vía tareas programadas.
- Puede descargar e instalar otras amenazas en el equipo que infecta.
- Utiliza Emotet para descargarse y luego propagarse vía correo electrónico y/o SMB.
Distribución de TrickBot
Trickbot se distribuye a través de campañas de spam que llaman a la acción y que contienen adjuntos o enlaces para la descarga del ejecutable que realiza la instalación.
Trickbot es conocido además por utilizar la infraestructura de Emotet y a su vez, disponer de su propia infraestructura para instalar amenazas de terceros, IaaS.
La secuencia a continuación corresponde el flujo de infección desde un enlace malicioso, que realizara la descarga de un archivo .doc con el código Powershell incrustado que realizara la descarga e instalación de Trickbot.
Desde los inicios de la distribución en el año 2016, Trickbot ha usado diferentes técnicas de ingeniería social y publicidad mal intencionada para que los usuarios descarguen un archivo ejecutable. Principalmente en archivos EXE, MSI, PNG y documentos de ofimática Office.
A continuación, se muestra 2 campañas para expandir Trickbot mediante la necesidad de «Actualizar tu navegador» para entrar al sitio de Office.
Flujo de Infección
El siguiente diagrama representa como es el flujo de infección de Trickbot vía Emotet y con la inyección final de Ryuk ransomware.
Lo que se conoce como la trifecta: EMOTET -> TRICKBOT -> RYUK
Objetivos Geográficos de Trickbot
Según reportes oficiales, Trickbot ha estado presente en múltiples países desde su fecha de descubrimiento. Entre los que están Estados Unidos, China, Brasil, Rumanía, Malasia, Ucrania, Zambia y la India entre muchos otros.
Indicadores de Compromiso
Direcciones IP
- 36.89.106.69
- 203.176.135.102
- 194.5.250.118
- 134.255.221.55
- 185.234.72.50
- 164.132.255.19
- 202.29.215.114
- 151.80.212.114
- 5.188.168.87
- 217.12.209.244
- 185.90.61.62
- 194.5.250.115
- 131.161.253.190
- 110.232.76.39
- 94.250.250.69
- 31.184.253.37
- 31.184.253.6
- 51.89.115.103
- 190.214.13.2
- 185.183.98.232
Hashes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elx01.knas.systems
isns.net
majul.com
qxq.ddns.net
krupskaya.com
m-onetrading-jp.com
thuocnam.tk
bestgame.bazar
girls4finder.com
www.syneosheallth.com
syneosheallth.com
sttgen.com
caatii.com
mlpaa.com
light4body-fatburn.world
www.bloxsploits.com
fnoetwotb4nwob524o.hk
zkc5kelvin.xyz
store.estau.ru
kh.diecastingprocessing.com
CVE usados por TrickBot
- CVE-2017-0144
- CVE-2017-0147
- CVE-2017-0199
- CVE-2017-11882
- CVE-2018-8174
Recomendaciones de seguridad
- Mantenga el software actualizado (MS Office, Antivirus, Sistema Operativo, etc).
- Mantenga una postura escéptica y desconfíe de mensajes sospechosos.
- No abra correos ni descargue adjuntos de remitentes desconocidos o correos no solicitados.
- No siga links desde mensajes de redes sociales o sitios no oficiales, siempre escriba usted mismo la página en el navegador.
- Manténgase informado de las últimas amenazas y riesgos en Internet.
- Ante cualquier anormalidad en el equipo reporte de inmediato a la mesa de ayuda.
- Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
Artículos relacionados
- https://blog.f-secure.com/what-is-trickbot/
- https://any.run/malware-trends/trickbot
- https://www.digitalshadows.com/blog-and-research/five-threats-to-financial-services-banking-trojans/
- https://latam.kaspersky.com/resource-center/definitions/spear-phishing
- https://blog.malwarebytes.com/detections/trojan-trickbot/
- https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html
