El malware TrickBot ha recibido nuevas características que hacen que sea más difícil de investigar y detectar, por ejemplo, TrickBot ha aprendido a bloquear el navegador cuando se detectan manipulaciones sospechosas.
TrickBot es uno de los más famosos y «exitoso» malware hasta la fecha. El malware se detectó por primera vez en 2015, poco después de una serie de arrestos de alto perfil que cambiaron significativamente la composición del grupo de hackers Dyre..
A través de los años, TrickBot ha pasado de ser un troyano bancario clásico diseñado para robar fondos de cuentas bancarias a un cuentagotas multifuncional que propaga otras amenazas. (desde mineros y ransomware hasta ladrones de información).
en el otoño de 2020, una operación a gran escala fue cargado dirigido a eliminar TrickBot. Asistieron autoridades policiales., especialistas del equipo de Microsoft Defender, la organización sin fines de lucro FS-ISAC, así como ESET, Lúmenes, NTT y Symantec.
En ese tiempo, muchos expertos escribieron que aunque Microsoft logró desactivar la infraestructura de TrickBot, lo más probable es que la botnet “sobreviva”, y eventualmente sus operadores pondrían en funcionamiento nuevos servidores de control, continuando su actividad. Desgraciadamente, eso es exactamente lo que paso. Recientemente, TrickBot ha sido vinculado al resurgimiento de la botnet Emotet, Operaciones de ransomware Diavol, y Cuentas de ransomware.
Analistas de IBM Trusteer informe que TrickBot ahora tiene varias capas nuevas de protección diseñadas para evitar los productos antivirus y proteger contra el escrutinio.
Los investigadores escriben que los desarrolladores de TrickBot utilizan varios niveles de ofuscación y base64 para los scripts., incluyendo minificación, extracción y reemplazo de cuerdas, inyección de código muerto, y el llamado parche de mono. Actualmente, TrickBot incluso tiene demasiados niveles de ofuscación, lo que hace que su análisis sea lento y muchas veces dé resultados poco fiables.
Además, durante la inyección de scripts maliciosos en páginas web (robar credenciales), Las inyecciones no utilizan recursos locales en la máquina de la víctima., pero dependen únicamente de los servidores de los propios atacantes. Como resultado, Los analistas no pueden extraer muestras de malware de la memoria de las máquinas infectadas.. Al mismo tiempo, TrickBot interactúa con sus servidores de control vía HTTPS, lo que también dificulta el aprendizaje.
Además, Las solicitudes de inyección contienen parámetros que marcan fuentes desconocidas., es decir,. Los investigadores no pueden simplemente obtener muestras de malware del servidor de control de los atacantes desde cualquier punto final..
Si antes TrickBot intentó determinar si estaba siendo investigado comprobando la resolución de la pantalla del host, ahora busca signos de código embellecer. Este término generalmente se refiere a la transformación de código ofuscado y de otro tipo en contenido que es más fácil de leer para el ojo humano y, por lo tanto, es más fácil encontrar lo que necesitas en él. Así que, en las últimas versiones de TrickBot, Se utilizan expresiones regulares., que le permiten notar si uno de los guiones ha sido “embellecido”, porque generalmente indica que el investigador de seguridad de la información está analizando malware. Para evitar la divulgación, TrickBot provoca un bloqueo en el navegador..
Permítanme recordarles que también informamos que Microsoft parchea la vulnerabilidad del instalador de Windows AppX que propaga el malware Emotet.