top of page
Buscar
  • Foto del escritorTeam Inntesec
    • 6 nov 2020
    • 7 Min. de lectura

Campaña Malspam Contiene Troyano Bancario TrickBot


Campaña Malspam Contiene Troyano Bancario TrickBot

TrickBot es un troyano bancario modular que se enfoca en la información financiera del usuario y actúa como un dropper (un dropper es un software diseñado para instalar algún tipo de malware, virus, backdoor, etc. en el sistema operativo donde ha sido ejecutado) para otros programas maliciosos. Utiliza los ataques del hombre en el navegador (man-in-the-browser) para robar información financiera, como las credenciales de inicio de sesión para las sesiones de banca en línea. Los autores del malware están lanzando continuamente nuevos módulos y versiones de TrickBot, y lo están difundiendo a través de campañas malspam. Estas campañas envían correos electrónicos no solicitados que dirigen a los usuarios a descargar malware de sitios web maliciosos o engañan al usuario para que active el malware a través de un archivo adjunto. TrickBot también se elimina como una carga útil secundaria por otro malware, especialmente por Emotet. Algunos de los módulos de TrickBot abusan del Protocolo de Bloque de Mensajes del Servidor (SMB) para propagar el malware lateralmente a través de una red.


Campañas de Malspam

Las campañas malspam que ofrecen TrickBot utilizan una marca de terceros que es familiar para el destinatario, como las facturas de las empresas contables y financieras. Los correos electrónicos suelen incluir un archivo adjunto, como un documento de Microsoft Word o Excel. El archivo adjunto abierto solicitará al usuario que habilite las macros, que ejecutan un VBScript para ejecutar un script de PowerShell para descargar el malware. TrickBot ejecuta comprobaciones para asegurarse de que no se encuentra en un entorno de espacio aislado y luego intenta desactivar los programas antivirus, como el Windows Defender de Microsoft entre otros. Una vez ejecutado, TrickBot se vuelve a desplegar en la carpeta "% AppData%" y crea una tarea programada que proporciona persistencia.


Metodología del Ataques de TrickBot

TrickBot envía solicitudes HTTP a los siguientes sitios web para recopilar la dirección IP pública del host infectado:

  • hxxp: //myexternalip.com/raw

  • hxxp: //api.ipify.org

  • hxxp: //icanhazip.com

  • hxxp: //bot.whatismyipaddress.com

  • hxxp: //ip.anysrc.net/plain/clientip


En este punto, TrickBot comienza a recibir instrucciones del servidor de comando y control (C2) y está listo para descargar los módulos, que se envían con un archivo de configuración. Los módulos se entregan como bibliotecas de enlace dinámico (DLL). Después de recibir la información del sistema del host infectado, el TrickBot C2 inicial envía un tiempo de caducidad y una nueva dirección IP que se utilizará para descargar más módulos. Los servidores C2 cambian constantemente y la infección TrickBot se actualiza con esta nueva información. TrickBot utiliza las solicitudes HTTP / HTTPS GET y POST para descargar módulos e informar información, credenciales robadas al servidor C2.


Técnicas de Ataques de TrickBot

TrickBot utiliza dos tipos de inyecciones web, "ataques de redirección" e "inyecciones en el servidor", para robar información financiera de las sesiones de banca en línea para estafar a sus víctimas.


ATAQUES DE REDIRECCIÓN

Los ataques de redirección envían a las víctimas a réplicas de sitios bancarios fraudulentos cuando navegan a ciertos sitios web bancarios. Este sitio web falso está alojado en el servidor malicioso del actor de amenazas cibernéticas (CTA) y recopila la información de inicio de sesión de la víctima.


INYECCIONES EN EL SERVIDOR

Una inyección en el lado del servidor intercepta la respuesta del servidor de un banco, inyecta un código adicional del lado del cliente en la página web y puede robar las credenciales bancarias de la víctima mediante la captura de formularios. La obtención de formularios registra información confidencial escrita en formularios HTML, en lugar de capturar todas las pulsaciones de teclado como con un keylogger.


Los ciberdelincuentes de TrickBot están utilizando etiquetas de grupo (gtags) para identificar de forma única campañas específicas de TrickBot. El gtag y un identificador de bot único se incluyen en los identificadores de recursos uniformes (URI) cuando TrickBot se comunica con sus servidores C2.

Los módulos de TrickBot realizan tareas para robar información bancaria, reconocimiento de sistemas, redes, recolección de credenciales y propagación de redes. La siguiente es una descripción general de los módulos y archivos de configuración comunes de TrickBot, pero esta no es una lista exhaustiva ya que TrickBot agrega constantemente nuevas funciones.


Ciberdelincuentes de Información Bancaria

  • LoaderDll / InjectDll: supervisa la actividad del sitio web bancario y utiliza inyecciones web (por ejemplo, ventanas emergentes y campos adicionales) para robar información financiera.

  • Sinj: este archivo contiene información sobre los bancos en línea seleccionados por TrickBot. Utiliza ataques de redirección (también conocidos como inyecciones web falsas). Los ataques de redirección envían a las víctimas a réplicas de sitios bancarios fraudulentos cuando navegan a ciertos sitios web bancarios. Este sitio web falso está alojado en el servidor malicioso de la CTA y recopila la información de inicio de sesión de la víctima.

  • Dinj: este archivo también contiene información sobre los bancos en línea seleccionados por TrickBot. Utiliza inyecciones web del lado del servidor. Una inyección web del lado del servidor intercepta la respuesta del servidor de un banco, inyecta un código adicional del lado del cliente en la página web, y puede robar las credenciales bancarias de la víctima mediante la captura de formularios. La obtención de formularios registra información confidencial escrita en formularios HTML, en lugar de capturar todas las pulsaciones de teclado como con un keylogger.

  • Dpost: incluye una dirección IP y un puerto para la información bancaria robada. Si el usuario ingresa información bancaria para uno de los bancos listados, la información se envía a la dirección IP de dpost. La mayoría de los datos exfiltrados por TrickBot se envían a la dirección IP de dpost.


Reconocimiento del Sistema de Red

  • Información del sistema: recopila información del sistema para que el atacante sepa qué se está ejecutando en el sistema afectado.

  • Mailsearcher: compara todos los archivos en el disco con una lista de extensiones de archivos.

  • NetworkDll: recopila más información del sistema y mapea la red.


Obtención de Credenciales e Información del Usuario

  • ModuleDll / ImportDll: recopila datos del navegador (por ejemplo, cookies y configuraciones del navegador).

  • DomainD