Blog

TrickBot implementa nuevas técnicas para evadir la detección de sus ataques de inyección de código desde el navegador

Los actores de amenazas que están detrás del célebre malware TrickBot, han vuelto a subir la apuesta al perfeccionar sus técnicas añadiendo múltiples capas de defensa para burlar de manera efectiva los diferentes antivirus que existen actualmente en el mercado.

Las nuevas actualizaciones observadas por IBM Trusteer están relacionadas con las inyecciones web en tiempo real utilizadas para robar credenciales bancarias y cookies del navegador. Esto implica dirigir a las víctimas a dominios de réplica cuando intentan navegar a un portal bancario como parte de lo que se denomina un ataque de hombre en el navegador (MitB).

También se utiliza un mecanismo de inyección del lado del servidor que intercepta la respuesta del servidor de un banco y la redirige a un servidor controlado por el atacante, que, a su vez, inserta código adicional en la página web antes de devolverla al cliente.

«Como parte de esta escalada, las inyecciones de malware han sido dotadas de protecciones adicionales para mantener alejados a los investigadores y burlar los controles de seguridad tradicionales«, afirma IBM Trusteer en un informe. «En la mayoría de los casos, estas protecciones adicionales se han aplicado a las inyecciones utilizadas en el proceso de fraude bancario en línea, la principal actividad de TrickBot desde su creación tras la desaparición del troyano Dyre«.

«Para facilitar la obtención de la inyección adecuada en el momento oportuno, el malware residente TrickBot utiliza un descargador o un cargador de JavaScript (JS) para comunicarse con su servidor de inyecciones«, explica Michael Gal, investigador de seguridad web en IBM.

Otras líneas de defensa adoptadas por la última versión de TrickBot muestran el uso de comunicaciones HTTPS cifradas con el servidor Command and Control (C2) para realizar el trabajo de inyecciones de código; un mecanismo anti depuración para frustrar el análisis; y nuevas formas de ofuscar y ocultar la web de la inyección, incluyendo la adición de código redundante y la incorporación de la representación hexadecimal para la inicialización de variables.

En concreto, al detectar cualquier intento de embellecimiento del código, la función anti depuración de TrickBot desencadena una sobrecarga de memoria que bloquearía la página, impidiendo efectivamente cualquier examen del malware.

«El troyano TrickBot y la banda que lo opera han sido un elemento básico del cibercrimen desde que tomaron el control cuando un predecesor, Dyre, quebró en 2016«, dijo Gal. «TrickBot no ha descansado ni un día. Entre intentos de derribo y una pandemia global, ha ido diversificando sus modelos de monetización y fortaleciéndose.«

En otoño de 2020, Microsoft, junto con un puñado de agencias gubernamentales estadounidenses y empresas de ciberseguridad, se unieron para hacer frente a la red de bots TrickBot, derribando gran parte de su infraestructura en todo el mundo en un intento de frenar sus operaciones.

Sin embargo, TrickBot ha demostrado ser imparable a los numerosos intentos de desmantelamiento, ya que los operadores han mutado rápidamente sus técnicas para propagar su malware en varias etapas a través de ataques de phishing y spam, por no hablar de la ampliación de sus canales de distribución mediante la asociación con otros afiliados como Shathak (TA551) para aumentar la escala y los beneficios.

Más información

https://securityintelligence.com/posts/trickbot-bolsters-layered-defenses-prevent-injection/

https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre

https://www.cisa.gov/uscert/ncas/alerts/aa21-076a

https://www.kryptoslogic.com/blog/2021/07/trickbot-and-zeus/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required