Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Trickbot: botnet malware-as-a-service




 TrickBot es uno de los malware más prevalentes en la actualidad que resurgió lentamente después que interrumpieran parte de su infraestructura en 2020. El malware Trickbot (que nació como un troyano bancario) también es el responsable inicial del ataque al SEPE en en España. Algunas de las principales capacidades de Trickbot son: obtener información de equipos comprometidos (sistemas operativos, programas instalados, nombres de usuarios, nombres de dominio, etc.), robar de credenciales en navegadores, robar de credenciales del cliente Outlook, obtener credenciales de Windows, abusar de protocolos como SMB y LDAP para moverse lateralmente dentro de una red corporativa y descargar otro tipo de malware.



¿Qué es Trickbot?

Trickbot, también conocido como Trickster, TheTrick o TrickLoader, es una botnet que está activa desde fines de 2016. En sus inicios esta amenaza contenía exclusivamente características de troyano, y era solamente utilizada para robar credenciales de acceso a cuentas bancarias en línea para luego intentar realizar transferencias fraudulentas. Sin embargo, con el correr del tiempo fue mutando y se expandió, hasta convertirse en un malware multi propósito disponible para que otros actores maliciosos puedan distribuir su propio malware bajo el modelo de Malware-as-a-Service y llegar a ser incluso una de las botnets más prolíficas y populares, con más de un millón de detecciones en todo el mundo.



Características de TrickBot

  • Recolecta información del sistema, usuarios y la red interna.
  • Desactiva el Antivirus.
  • Despliega inyecciones web y redirecciones fraudulentas.
  • Roba credenciales de acceso de clientes de correo electrónico.
  • Roba credenciales de aplicaciones de escritorio remoto y credenciales almacenadas en el navegador.
  • Desarrolla constantemente nuevas funcionalidades.
  • Posee técnicas de evasión y persistencia vía tareas programadas.
  • Puede descargar e instalar otras amenazas en el equipo que infecta.
  • Utiliza Emotet para descargarse y luego propagarse vía correo electrónico y/o SMB.

Tanto para su primera infección como para realizar una acción maliciosa en el equipo comprometido, Trickbot hace uso de otras amenazas. Por ejemplo, se observó la presencia de este malware en equipos que habían sido infectados previamente por el popular troyano Emotet. En segundo lugar, Trickbot se ha utilizado como puerta de entrada para ejecutar otros archivos maliciosos en los equipos víctima, particularmente ransomware. Entre estos, el más destacable es el ransomware Ryuk, amenaza ya conocida y ampliamente detectada.

¿Quiénes están detrás de Trickbot?

Según publicó en junio de 2021 el Departamento de Justicia de Estados Unidos tras la detención de una mujer de Letonia acusada de formar parte del grupo responsable de la creación y el desarrollo de Trickbot, detrás de esta botnet hay una organización criminal trasnacional dedicada al robo de dinero e información personal y confidencial y afirman que Trickbot infectó a decenas de millones de computadoras a nivel mundial. Además, un extenso documento complementario ofrece detalles que muestran el tamaño y la infraestructura del grupo que ayudan a comprender la magnitud y el alcance de esta amenaza tan activa desde hace tantos años.

Sitio web personal de Alla Witte - allawitte [.] Nl - alrededor de octubre de 2018.




El Departamento de Justicia de EE. UU. (DOJ) anunció la semana pasada el arresto de una mujer letona de 55 años que presuntamente trabajó como programadora para Trickbot, una plataforma de malware como servicio responsable de infectar millones de computadoras y sembrar muchos de esos sistemas con ransomware.

¿Cómo es que una diseñadora de sitios web autónoma y madre de dos hijos llegó a trabajar para uno de los grupos de ciberdelincuentes más rapaces del mundo y luego dejó un rastro tan obvio de pistas que indican su participación en la pandilla? 

La acusación emitida por el DOJ (PDF) está muy redactada y solo se nombra a uno de los acusados: Alla “Max” Witte, una ciudadana letona de 55 años que fue arrestada el 6 de febrero en Miami, Florida.

El DOJ alega que Witte era responsable de "supervisar la creación de código relacionado con el monitoreo y seguimiento de los usuarios autorizados del malware Trickbot, el control y la implementación de ransomware, la obtención de pagos de las víctimas de ransomware y el desarrollo de herramientas y protocolos para el almacenamiento de credenciales". robado y exfiltrado de víctimas infectadas por Trickbot ".

La acusación también dice que Witte proporcionó un código al Trickbot Group para un panel web utilizado para acceder a los datos de las víctimas almacenados en una base de datos. Según el gobierno, esa base de datos contenía una gran cantidad de números de tarjetas de crédito y credenciales robadas de la botnet Trickbot, así como información sobre máquinas infectadas disponibles como bots.

"Witte proporcionó un código a este repositorio que mostraba el estado de una computadora infectada o 'bot' en diferentes colores según los colores de un semáforo y permitía a otros miembros del Grupo Trickbot saber cuándo sus co-conspiradores estaban trabajando en una máquina infectada en particular". alega la acusación.

Si bien cualquier acción policial contra un grupo delictivo que se haya dirigido a hospitales, escuelas, servicios públicos y gobiernos es una buena noticia, la acusación y el arresto de Witte probablemente fueron inevitables: es difícil pensar en un ciberdelincuente acusado que haya hecho más pobre y asombrosamente a un novato operativo. errores de seguridad que este anciano letón.

Principales métodos de distribución de Trickbot

Esta amenaza suele distribuirse a través de correos de phishing dirigidos utilizando como señuelo variadas excusas, como temas de actualidad, problemas o envíos relacionados al dominio corporativo del correo de la víctima o temáticas financieras (facturas, cobro de bonos, multas de tránsito impagas, entre otros).

Estos correos suelen incluir enlaces a sitios maliciosos o infectados, o archivos adjuntos de tipos varios: principalmente documentos de tipo Excel, Word o ZIP. Estos envíos provienen de múltiples localizaciones alrededor del mundo, utilizando frecuentemente las cuentas de víctimas comprometidas en campañas antiguas para distribuirse sin apuntar a un blanco en particular.

Además de las comunicaciones mediante correos electrónicos fraudulentos, en varias ocasiones se ha detectado a Trickbot aprovecharse de vulnerabilidades para poder realizar movimientos laterales dentro de la red de una víctima ya infectada. Por ejemplo, los famosos exploits EternalBlue y EternalRomance en el protocolo de Server Message Block (por sus siglas, SMB). Si bien estas vulnerabilidades han sido parcheadas en 2017, todavía existe una gran cantidad de equipos que no han recibido actualizaciones desde ese entonces, haciendo que el movimiento lateral sea un dolor de cabeza para las organizaciones víctimas de Trickbot.

Finalmente, uno de los últimos métodos de distribución descubiertos antes de la interrupción de la botnet es mediante droppers en equipos ya infectados por Emotet: una vez que un equipo es infectado por este último, descarga y ejecuta un archivo malicioso que contiene a Trickbot sin que el usuario tenga conocimiento de esto.

Un módulo interesante, aunque no de los más descargados en los equipos comprometidos, es el llamado pwgrab. El mismo cuenta con versiones tanto 32 como 64 bits y descarga la versión adecuada según lo indicado por Trickbot a partir de información que recolecta del equipo de la víctima. Este módulo rastrea archivos de configuración locales en busca de nombres de usuarios y contraseñas para exfiltrar a sus servidores C&C: desde FTP de aplicaciones como FileZilla, Outlook, Chrome y Edge, hasta aplicaciones de control remoto como TeamViewer.

Fuentes:

https://www.welivesecurity.com/la-es/2021/06/25/trickbot-caracteristicas-malware-mas-activos-peligrosos/

https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/

https://www.cronup.com/top-malware-series-trickbot/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.