TrickBot es uno de los malware más prevalentes en la actualidad que resurgió lentamente después que interrumpieran parte de su infraestructura en 2020. El malware Trickbot (que nació como un troyano bancario) también es el responsable inicial del ataque al SEPE en en España. Algunas de las principales capacidades de Trickbot son: obtener información de equipos comprometidos (sistemas operativos, programas instalados, nombres de usuarios, nombres de dominio, etc.), robar de credenciales en navegadores, robar de credenciales del cliente Outlook, obtener credenciales de Windows, abusar de protocolos como SMB y LDAP para moverse lateralmente dentro de una red corporativa y descargar otro tipo de malware.

¿Qué es Trickbot?

Trickbot, también conocido como Trickster, TheTrick o TrickLoader, es una botnet que está activa desde fines de 2016. En sus inicios esta amenaza contenía exclusivamente características de troyano, y era solamente utilizada para robar credenciales de acceso a cuentas bancarias en línea para luego intentar realizar transferencias fraudulentas. Sin embargo, con el correr del tiempo fue mutando y se expandió, hasta convertirse en un malware multi propósito disponible para que otros actores maliciosos puedan distribuir su propio malware bajo el modelo de Malware-as-a-Service y llegar a ser incluso una de las botnets más prolíficas y populares, con más de un millón de detecciones en todo el mundo.

Características de TrickBot

• Recolecta información del sistema, usuarios y la red interna.
• Desactiva el Antivirus.
• Despliega inyecciones web y redirecciones fraudulentas.
• Roba credenciales de acceso de clientes de correo electrónico.
• Roba credenciales de aplicaciones de escritorio remoto y credenciales almacenadas en el navegador.
• Desarrolla constantemente nuevas funcionalidades.
• Posee técnicas de evasión y persistencia vía tareas programadas.
• Puede descargar e instalar otras amenazas en el equipo que infecta.
• Utiliza Emotet para descargarse y luego propagarse vía correo electrónico y/o SMB.

Tanto para su primera infección como para realizar una acción maliciosa en el equipo comprometido, Trickbot hace uso de otras amenazas. Por ejemplo, se observó la presencia de este malware en equipos que habían sido infectados previamente por el popular troyano Emotet. En segundo lugar, Trickbot se ha utilizado como puerta de entrada para ejecutar otros archivos maliciosos en los equipos víctima, particularmente ransomware. Entre estos, el más destacable es el ransomware Ryuk, amenaza ya conocida y ampliamente detectada.

¿Quiénes están detrás de Trickbot?

Según publicó en junio de 2021 el Departamento de Justicia de Estados Unidos tras la detención de una mujer de Letonia acusada de formar parte del grupo responsable de la creación y el desarrollo de Trickbot, detrás de esta botnet hay una organización criminal trasnacional dedicada al robo de dinero e información personal y confidencial y afirman que Trickbot infectó a decenas de millones de computadoras a nivel mundial. Además, un extenso documento complementario ofrece detalles que muestran el tamaño y la infraestructura del grupo que ayudan a comprender la magnitud y el alcance de esta amenaza tan activa desde hace tantos años.

Principales métodos de distribución de Trickbot

Esta amenaza suele distribuirse a través de correos de phishing dirigidos utilizando como señuelo variadas excusas, como temas de actualidad, problemas o envíos relacionados al dominio corporativo del correo de la víctima o temáticas financieras (facturas, cobro de bonos, multas de tránsito impagas, entre otros).

Estos correos suelen incluir enlaces a sitios maliciosos o infectados, o archivos adjuntos de tipos varios: principalmente documentos de tipo Excel, Word o ZIP. Estos envíos provienen de múltiples localizaciones alrededor del mundo, utilizando frecuentemente las cuentas de víctimas comprometidas en campañas antiguas para distribuirse sin apuntar a un blanco en particular.

Además de las comunicaciones mediante correos electrónicos fraudulentos, en varias ocasiones se ha detectado a Trickbot aprovecharse de vulnerabilidades para poder realizar movimientos laterales dentro de la red de una víctima ya infectada. Por ejemplo, los famosos exploits EternalBlue y EternalRomance en el protocolo de Server Message Block (por sus siglas, SMB). Si bien estas vulnerabilidades han sido parcheadas en 2017, todavía existe una gran cantidad de equipos que no han recibido actualizaciones desde ese entonces, haciendo que el movimiento lateral sea un dolor de cabeza para las organizaciones víctimas de Trickbot.

Finalmente, uno de los últimos métodos de distribución descubiertos antes de la interrupción de la botnet es mediante droppers en equipos ya infectados por Emotet: una vez que un equipo es infectado por este último, descarga y ejecuta un archivo malicioso que contiene a Trickbot sin que el usuario tenga conocimiento de esto.

Un módulo interesante, aunque no de los más descargados en los equipos comprometidos, es el llamado pwgrab. El mismo cuenta con versiones tanto 32 como 64 bits y descarga la versión adecuada según lo indicado por Trickbot a partir de información que recolecta del equipo de la víctima. Este módulo rastrea archivos de configuración locales en busca de nombres de usuarios y contraseñas para exfiltrar a sus servidores C&C: desde FTP de aplicaciones como FileZilla, Outlook, Chrome y Edge, hasta aplicaciones de control remoto como TeamViewer.

Fuentes:

https://www.welivesecurity.com/la-es/2021/06/25/trickbot-caracteristicas-malware-mas-activos-peligrosos/

https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/

https://www.cronup.com/top-malware-series-trickbot/