Campaña Malspam Contiene Troyano Bancario TrickBot

TrickBot es un troyano bancario modular que se enfoca en la información financiera del usuario y actúa como un dropper (un dropper es un software diseñado para instalar algún tipo de malware, virus, backdoor, etc. en el sistema operativo donde ha sido ejecutado) para otros programas maliciosos. Utiliza los ataques del hombre en el navegador (man-in-the-browser) para robar información financiera, como las credenciales de inicio de sesión para las sesiones de banca en línea. Los autores del malware están lanzando continuamente nuevos módulos y versiones de TrickBot, y lo están difundiendo a través de campañas malspam. Estas campañas envían correos electrónicos no solicitados que dirigen a los usuarios a descargar malware de sitios web maliciosos o engañan al usuario para que active el malware a través de un archivo adjunto. TrickBot también se elimina como una carga útil secundaria por otro malware, especialmente por Emotet. Algunos de los módulos de TrickBot abusan del Protocolo de Bloque de Mensajes del Servidor (SMB) para propagar el malware lateralmente a través de una red.

Campañas de Malspam

Las campañas malspam que ofrecen TrickBot utilizan una marca de terceros que es familiar para el destinatario, como las facturas de las empresas contables y financieras. Los correos electrónicos suelen incluir un archivo adjunto, como un documento de Microsoft Word o Excel. El archivo adjunto abierto solicitará al usuario que habilite las macros, que ejecutan un VBScript para ejecutar un script de PowerShell para descargar el malware. TrickBot ejecuta comprobaciones para asegurarse de que no se encuentra en un entorno de espacio aislado y luego intenta desactivar los programas antivirus, como el Windows Defender de Microsoft entre otros. Una vez ejecutado, TrickBot se vuelve a desplegar en la carpeta "% AppData%" y crea una tarea programada que proporciona persistencia.

Metodología del Ataques de TrickBot

TrickBot envía solicitudes HTTP a los siguientes sitios web para recopilar la dirección IP pública del host infectado:

• hxxp: //myexternalip.com/raw

• hxxp: //api.ipify.org

• hxxp: //icanhazip.com

• hxxp: //bot.whatismyipaddress.com

• hxxp: //ip.anysrc.net/plain/clientip

En este punto, TrickBot comienza a recibir instrucciones del servidor de comando y control (C2) y está listo para descargar los módulos, que se envían con un archivo de configuración. Los módulos se entregan como bibliotecas de enlace dinámico (DLL). Después de recibir la información del sistema del host infectado, el TrickBot C2 inicial envía un tiempo de caducidad y una nueva dirección IP que se utilizará para descargar más módulos. Los servidores C2 cambian constantemente y la infección TrickBot se actualiza con esta nueva información. TrickBot utiliza las solicitudes HTTP / HTTPS GET y POST para descargar módulos e informar información, credenciales robadas al servidor C2.

Técnicas de Ataques de TrickBot

TrickBot utiliza dos tipos de inyecciones web, "ataques de redirección" e "inyecciones en el servidor", para robar información financiera de las sesiones de banca en línea para estafar a sus víctimas.

ATAQUES DE REDIRECCIÓN

Los ataques de redirección envían a las víctimas a réplicas de sitios bancarios fraudulentos cuando navegan a ciertos sitios web bancarios. Este sitio web falso está alojado en el servidor malicioso del actor de amenazas cibernéticas (CTA) y recopila la información de inicio de sesión de la víctima.

INYECCIONES EN EL SERVIDOR

Una inyección en el lado del servidor intercepta la respuesta del servidor de un banco, inyecta un código adicional del lado del cliente en la página web y puede robar las credenciales bancarias de la víctima mediante la captura de formularios. La obtención de formularios registra información confidencial escrita en formularios HTML, en lugar de capturar todas las pulsaciones de teclado como con un keylogger.

Los ciberdelincuentes de TrickBot están utilizando etiquetas de grupo (gtags) para identificar de forma única campañas específicas de TrickBot. El gtag y un identificador de bot único se incluyen en los identificadores de recursos uniformes (URI) cuando TrickBot se comunica con sus servidores C2.

Los módulos de TrickBot realizan tareas para robar información bancaria, reconocimiento de sistemas, redes, recolección de credenciales y propagación de redes. La siguiente es una descripción general de los módulos y archivos de configuración comunes de TrickBot, pero esta no es una lista exhaustiva ya que TrickBot agrega constantemente nuevas funciones.

Ciberdelincuentes de Información Bancaria

• LoaderDll / InjectDll: supervisa la actividad del sitio web bancario y utiliza inyecciones web (por ejemplo, ventanas emergentes y campos adicionales) para robar información financiera.

• Sinj: este archivo contiene información sobre los bancos en línea seleccionados por TrickBot. Utiliza ataques de redirección (también conocidos como inyecciones web falsas). Los ataques de redirección envían a las víctimas a réplicas de sitios bancarios fraudulentos cuando navegan a ciertos sitios web bancarios. Este sitio web falso está alojado en el servidor malicioso de la CTA y recopila la información de inicio de sesión de la víctima.

• Dinj: este archivo también contiene información sobre los bancos en línea seleccionados por TrickBot. Utiliza inyecciones web del lado del servidor. Una inyección web del lado del servidor intercepta la respuesta del servidor de un banco, inyecta un código adicional del lado del cliente en la página web, y puede robar las credenciales bancarias de la víctima mediante la captura de formularios. La obtención de formularios registra información confidencial escrita en formularios HTML, en lugar de capturar todas las pulsaciones de teclado como con un keylogger.

• Dpost: incluye una dirección IP y un puerto para la información bancaria robada. Si el usuario ingresa información bancaria para uno de los bancos listados, la información se envía a la dirección IP de dpost. La mayoría de los datos exfiltrados por TrickBot se envían a la dirección IP de dpost.

Reconocimiento del Sistema de Red

• Información del sistema: recopila información del sistema para que el atacante sepa qué se está ejecutando en el sistema afectado.

• Mailsearcher: compara todos los archivos en el disco con una lista de extensiones de archivos.

• NetworkDll: recopila más información del sistema y mapea la red.

Obtención de Credenciales e Información del Usuario

• ModuleDll / ImportDll: recopila datos del navegador (por ejemplo, cookies y configuraciones del navegador).

• DomainDll: utiliza LDAP para recopilar las credenciales y los datos de configuración del controlador de dominio mediante el acceso a archivos SYSVOL compartidos.

• OutlookDll: recolecta las credenciales de Microsoft Outlook consultando varias claves de registro.

• SqulDll: forzar habilita la autenticación WDigest y utiliza Mimikatz para raspar las credenciales de LSASS.exe. Los módulos de gusanos utilizan estas credenciales para distribuir TrickBot lateralmente a través de redes.

• Pwgrab: roba credenciales, datos de autocompletado, historial y otra información de los navegadores, así como de varias aplicaciones de software.

Propagación en la Red

• WormDll y ShareDll: estos son módulos de gusanos que abusan del Bloqueo de mensajes del servidor (SMB) y del Protocolo ligero de acceso a directorios (LDAP) para moverse lateralmente a través de las redes.

• TabDll: utiliza el exploit EternalRomance para propagarse a través de SMB.

Recomendaciones

Se recomienda que las organizaciones se adhieran a las siguientes mejores prácticas generales para limitar el efecto de TrickBot y malspam similar en su organización:

• Utilice programas antivirus en clientes y servidores, con actualizaciones automáticas de firmas y software.

• Deshabilite todas las macros excepto aquellas que están firmadas digitalmente.

• Aplique los parches y actualizaciones apropiados inmediatamente después de las pruebas apropiadas.

• Implemente filtros en la puerta de enlace del correo electrónico para filtrar los correos electrónicos con indicadores conocidos de malspam, como las líneas de asunto maliciosas conocidas, y bloquee las direcciones IP sospechosas en el firewall.

• Si no tiene una política con respecto a correos electrónicos sospechosos, considere crear uno y especifique que todos los correos electrónicos sospechosos deben informarse a los departamentos de seguridad y/o TI.

• Implemente la autenticación, el informe y el cumplimiento de mensajes basados ​​en el dominio (DMARC), un sistema de validación que minimiza los correos electrónicos no deseados detectando la falsificación del correo electrónico utilizando registros del Sistema de nombres de dominio (DNS) y firmas digitales.

• Marque los correos electrónicos externos con un banner que indica que proviene de una fuente externa. Esto ayudará a los usuarios a detectar correos electrónicos falsificados.

• Proporcionar a los empleados formación en ingeniería social y phishing. Pídales que no abran correos electrónicos sospechosos, que hagan clic en los enlaces contenidos en dichos correos electrónicos, publiquen información confidencial en línea y que nunca proporcionen nombres de usuario, contraseñas y/o información personal a ninguna solicitud no solicitada. Enseñe a los usuarios a desplazarse sobre un enlace con su mouse para verificar el destino antes de hacer clic en el enlace.

• Cumpla con el principio de privilegio mínimo, asegurando que los usuarios tengan el nivel mínimo de acceso requerido para cumplir con sus deberes. Limite las credenciales administrativas a los administradores designados.

• Cumpla con las mejores prácticas, como las que se describen en los Controles CIS, que forman parte de CIS SecureSuite.

Si un usuario abrió un correo electrónico malicioso o se cree que existe una infección, recomendamos ejecutar un análisis antivirus en el sistema y tomar medidas en función de los resultados para aislar la computadora infectada. Si varias máquinas están infectadas:

• Identifique, apague y retire las máquinas infectadas de la red.

• No inicie sesión en sistemas infectados utilizando un dominio o cuentas de administrador locales compartidas.

• La contraseña de emisión se restablece tanto para el dominio como para las credenciales locales.

• A medida que TrickBot elimina las credenciales adicionales, considere restablecer las contraseñas de otras aplicaciones que puedan tener credenciales almacenadas en las máquinas comprometidas.

• Determine el vector de infección para ver si hubo una infección primaria diferente, como Emotet que deja caer TrickBot. Una infección con TrickBot podría indicar que hay un Emotet activo u otra infección en la red y viceversa.

Estrategia de Human Hacking

Comience las pruebas de los servicios de protección contra amenazas de Microsoft ATP Office 365 hoy mismo para experimentar los beneficios de la solución de protección contra amenazas más completa, integrada y segura para el lugar de trabajo moderno, comuníquese con ventas@inntesec.com.

Este tipo de amenaza solo se puede mitigar a través de Security Awareness.

A través de un programa las organizaciones deben invertir en un programa y con apoyo de una plataforma cloud podemos simular, capacitar y entrenar a los usuarios que son el eslabón mas débil de una organización, en temas de  concientización sobre seguridad y suplantación de identidad. Mediante campañas programadas podemos ejecutar diversos métodos de ataque tales como: phishing, spear phishing, usb, ransomware e social engineering, conoce nuestro programa escribiéndonos a ventas@inntesec.com.

Fuente: Inntesec, CIS (Center for Internet Security)