Los actores de amenazas que están detrás del célebre malware TrickBot, han vuelto a subir la apuesta al perfeccionar sus técnicas añadiendo múltiples capas de defensa para burlar de manera efectiva los diferentes antivirus que existen actualmente en el mercado.
Las nuevas actualizaciones observadas por IBM Trusteer están relacionadas con las inyecciones web en tiempo real utilizadas para robar credenciales bancarias y cookies del navegador. Esto implica dirigir a las víctimas a dominios de réplica cuando intentan navegar a un portal bancario como parte de lo que se denomina un ataque de hombre en el navegador (MitB).
También se utiliza un mecanismo de inyección del lado del servidor que intercepta la respuesta del servidor de un banco y la redirige a un servidor controlado por el atacante, que, a su vez, inserta código adicional en la página web antes de devolverla al cliente.
«Como parte de esta escalada, las inyecciones de malware han sido dotadas de protecciones adicionales para mantener alejados a los investigadores y burlar los controles de seguridad tradicionales«, afirma IBM Trusteer en un informe. «En la mayoría de los casos, estas protecciones adicionales se han aplicado a las inyecciones utilizadas en el proceso de fraude bancario en línea, la principal actividad de TrickBot desde su creación tras la desaparición del troyano Dyre«.
«Para facilitar la obtención de la inyección adecuada en el momento oportuno, el malware residente TrickBot utiliza un descargador o un cargador de JavaScript (JS) para comunicarse con su servidor de inyecciones«, explica Michael Gal, investigador de seguridad web en IBM.
Otras líneas de defensa adoptadas por la última versión de TrickBot muestran el uso de comunicaciones HTTPS cifradas con el servidor Command and Control (C2) para realizar el trabajo de inyecciones de código; un mecanismo anti depuración para frustrar el análisis; y nuevas formas de ofuscar y ocultar la web de la inyección, incluyendo la adición de código redundante y la incorporación de la representación hexadecimal para la inicialización de variables.
En concreto, al detectar cualquier intento de embellecimiento del código, la función anti depuración de TrickBot desencadena una sobrecarga de memoria que bloquearía la página, impidiendo efectivamente cualquier examen del malware.
«El troyano TrickBot y la banda que lo opera han sido un elemento básico del cibercrimen desde que tomaron el control cuando un predecesor, Dyre, quebró en 2016«, dijo Gal. «TrickBot no ha descansado ni un día. Entre intentos de derribo y una pandemia global, ha ido diversificando sus modelos de monetización y fortaleciéndose.«
En otoño de 2020, Microsoft, junto con un puñado de agencias gubernamentales estadounidenses y empresas de ciberseguridad, se unieron para hacer frente a la red de bots TrickBot, derribando gran parte de su infraestructura en todo el mundo en un intento de frenar sus operaciones.
Sin embargo, TrickBot ha demostrado ser imparable a los numerosos intentos de desmantelamiento, ya que los operadores han mutado rápidamente sus técnicas para propagar su malware en varias etapas a través de ataques de phishing y spam, por no hablar de la ampliación de sus canales de distribución mediante la asociación con otros afiliados como Shathak (TA551) para aumentar la escala y los beneficios.
Más información
https://securityintelligence.com/posts/trickbot-bolsters-layered-defenses-prevent-injection/
https://malpedia.caad.fkie.fraunhofer.de/details/win.dyre
https://www.cisa.gov/uscert/ncas/alerts/aa21-076a
https://www.kryptoslogic.com/blog/2021/07/trickbot-and-zeus/
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
