Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
junio
(Total:
48
)
- WD recuperará los datos borrados durante el ataque...
- GitHub presenta Copilot; herramienta capaz de auto...
- A la venta base de datos con datos del 92% usuario...
- Herramientas gratuitas análisis forense digital
- Windows 11 TPM; requisitos y características
- Trickbot: botnet malware-as-a-service
- Tecnología GPON - FTTH
- Graves vulnerabilidades NAS WD My Book Live provoc...
- Microsoft presenta oficialmente Windows 11
- Navegador Brave publica nuevo buscador basado en l...
- Disponible nueva versión navegador Tor corrige err...
- Ransomware DarkRadiation afecta a Linux y contened...
- La plataforma en la nube de la OTAN ha sido hackeada
- Guía NSA sobre la protección de las comunicaciones...
- Actualizaciones de seguridad para Microsoft y Goog...
- Malware sin nombre fue capaz de robar 26 millones ...
- Filtración datos de 3.3 millones clientes Volkswag...
- Detenido en Málaga por un ataque informático a la ...
- Detenidos 6 miembros del grupo de ransomware Clop ...
- Recopilaron datos privados de 1.000 millones usuar...
- Filtrada primera ISO de Windows 11
- Filtran datos de 16,7 millones de usuarios de Fotolog
- Vulnerabilidad desde hace 7 años en Polkit de Linu...
- El grupo ransomware Avaddon cierra y entrega llave...
- Historia del Ransomware Ruyk: el más prolífico ata...
- CD Projekt asegura que los datos robados tras el h...
- EA ha sido hackeada: 780GB datos robados incluyen ...
- JBS pagó un rescate de 11 millones de dólares al r...
- ALPACA, un nuevo tipo de ataque Man in the Middle ...
- El Salvador es el primer país en legalizar el Bitc...
- Ransomware PYSA publica contratos y nóminas de los...
- RockYou2021: la mayor recopilación de contraseñas ...
- 800 criminales arrestados gracias a las escuchas d...
- Estados Unidos recupera gran parte del rescate pag...
- TikTok podrá recopilar todos tus datos biométricos...
- CISA publica guía MITRE ATT & CK para analistas de...
- Próximas novedades del futuro Windows 11
- FujiFilm confirma que fue victima de un ataque de ...
- A la venta Base de Datos robada de la página web d...
- Nuevo timo por WhatsApp: "regalos gratis para todo...
- Empresa dedicada a los backups, paga 2.6 millones ...
- 2 autores de Carbanak (Troyano Bancario) condenado...
- El FBI confirma que el mayor productor de carne de...
- Alertan App's bancarias maliciosas con el troyano ...
- Disponible nueva versión de Kali Linux 2021.2
- Nuevos grupos de ransomware: Prometheus, Grief, Ep...
- Los dispositivos de Amazon compartirán automáticam...
- Google dificultó escondiendo los ajustes de locali...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Trickbot: botnet malware-as-a-service
TrickBot es uno de los malware más prevalentes en la actualidad que resurgió lentamente después que interrumpieran parte de su infraestructura en 2020. El malware Trickbot (que nació como un troyano bancario) también es el responsable inicial del ataque al SEPE en en España. Algunas de las principales capacidades de Trickbot son: obtener información de equipos comprometidos (sistemas operativos, programas instalados, nombres de usuarios, nombres de dominio, etc.), robar de credenciales en navegadores, robar de credenciales del cliente Outlook, obtener credenciales de Windows, abusar de protocolos como SMB y LDAP para moverse lateralmente dentro de una red corporativa y descargar otro tipo de malware.
¿Qué es Trickbot?
Trickbot, también conocido como Trickster, TheTrick o TrickLoader, es una botnet que está activa desde fines de 2016. En sus inicios esta amenaza contenía exclusivamente características de troyano, y era solamente utilizada para robar credenciales de acceso a cuentas bancarias en línea para luego intentar realizar transferencias fraudulentas. Sin embargo, con el correr del tiempo fue mutando y se expandió, hasta convertirse en un malware multi propósito disponible para que otros actores maliciosos puedan distribuir su propio malware bajo el modelo de Malware-as-a-Service y llegar a ser incluso una de las botnets más prolíficas y populares, con más de un millón de detecciones en todo el mundo.
Características de TrickBot
- Recolecta información del sistema, usuarios y la red interna.
- Desactiva el Antivirus.
- Despliega inyecciones web y redirecciones fraudulentas.
- Roba credenciales de acceso de clientes de correo electrónico.
- Roba credenciales de aplicaciones de escritorio remoto y credenciales almacenadas en el navegador.
- Desarrolla constantemente nuevas funcionalidades.
- Posee técnicas de evasión y persistencia vía tareas programadas.
- Puede descargar e instalar otras amenazas en el equipo que infecta.
- Utiliza Emotet para descargarse y luego propagarse vía correo electrónico y/o SMB.
Tanto para su primera infección como para realizar una acción maliciosa en el equipo comprometido, Trickbot hace uso de otras amenazas. Por ejemplo, se observó la presencia de este malware en equipos que habían sido infectados previamente por el popular troyano Emotet. En segundo lugar, Trickbot se ha utilizado como puerta de entrada para ejecutar otros archivos maliciosos en los equipos víctima, particularmente ransomware. Entre estos, el más destacable es el ransomware Ryuk, amenaza ya conocida y ampliamente detectada.
¿Quiénes están detrás de Trickbot?
Según publicó en junio de 2021 el Departamento de Justicia de Estados Unidos tras la detención de una mujer de Letonia acusada de formar parte del grupo responsable de la creación y el desarrollo de Trickbot, detrás de esta botnet hay una organización criminal trasnacional dedicada al robo de dinero e información personal y confidencial y afirman que Trickbot infectó a decenas de millones de computadoras a nivel mundial. Además, un extenso documento complementario ofrece detalles que muestran el tamaño y la infraestructura del grupo que ayudan a comprender la magnitud y el alcance de esta amenaza tan activa desde hace tantos años.
Principales métodos de distribución de Trickbot
Esta amenaza suele distribuirse a través de correos de phishing dirigidos utilizando como señuelo variadas excusas, como temas de actualidad, problemas o envíos relacionados al dominio corporativo del correo de la víctima o temáticas financieras (facturas, cobro de bonos, multas de tránsito impagas, entre otros).
Estos correos suelen incluir enlaces a sitios maliciosos o infectados, o archivos adjuntos de tipos varios: principalmente documentos de tipo Excel, Word o ZIP. Estos envíos provienen de múltiples localizaciones alrededor del mundo, utilizando frecuentemente las cuentas de víctimas comprometidas en campañas antiguas para distribuirse sin apuntar a un blanco en particular.
Además de las comunicaciones mediante correos electrónicos fraudulentos, en varias ocasiones se ha detectado a Trickbot aprovecharse de vulnerabilidades para poder realizar movimientos laterales dentro de la red de una víctima ya infectada. Por ejemplo, los famosos exploits EternalBlue y EternalRomance en el protocolo de Server Message Block (por sus siglas, SMB). Si bien estas vulnerabilidades han sido parcheadas en 2017, todavía existe una gran cantidad de equipos que no han recibido actualizaciones desde ese entonces, haciendo que el movimiento lateral sea un dolor de cabeza para las organizaciones víctimas de Trickbot.
Finalmente, uno de los últimos métodos de distribución descubiertos antes de la interrupción de la botnet es mediante droppers en equipos ya infectados por Emotet: una vez que un equipo es infectado por este último, descarga y ejecuta un archivo malicioso que contiene a Trickbot sin que el usuario tenga conocimiento de esto.
Un módulo interesante, aunque no de los más descargados en los equipos comprometidos, es el llamado pwgrab. El mismo cuenta con versiones tanto 32 como 64 bits y descarga la versión adecuada según lo indicado por Trickbot a partir de información que recolecta del equipo de la víctima. Este módulo rastrea archivos de configuración locales en busca de nombres de usuarios y contraseñas para exfiltrar a sus servidores C&C: desde FTP de aplicaciones como FileZilla, Outlook, Chrome y Edge, hasta aplicaciones de control remoto como TeamViewer.
Fuentes:
https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.