Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

El troyano bancario TrickBot evoluciona con nuevas capacidades

  • Endpoint

Malware avanzado para APT_foto

La última versión agrega un nuevo truco para evadir los sandboxes: la inyección de código sigilosa a través de documentos de Microsoft Word habilitados para macro. Además, una vez iniciado, el malware aguarda 30 segundos, otra estrategia dirigida a evadir la detección.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

El malware TrickBot surgió por primera vez en 2016. Y, desde entonces, las nuevas versiones han aparecido de forma continua, cada vez actualizadas con nuevos trucos y módulos. La última versión, que se utilizó en ataques bancarios llevados a cabo en Norteamérica y Europa en a principios de agosto, emplea inyecciones de código oculto utilizando documentos de Microsoft Word.

Las víctimas reciben un correo electrónico con un documento adjunto de Word que contiene código macro. Para evadir la detección, los usuarios de TrickBot han diseñado la macro para que se ejecute solo si los usuarios hacen clic en "habilitar contenido" y luego cambian el tamaño del documento acercándose o alejándose. De acuerdo con Cyberbit, aunque este método probablemente evadirá los sandboxes, también puede limitar el porcentaje de infecciines, ya que no todos los usuarios intentarán hacer zoom en el documento. Una vez iniciado, el malware aguarda durante 30 segundos, otro intento de evadir la detección, y luego ejecuta un script ofuscado de PowerShell para descargar y ejecutar TrickBot.

Mientras que el modo de inyección macro es nuevo, las funciones centrales de TrickBot permanecen sin cambios. Para las organizaciones financieras y los usuarios finales, la infección conduce a modificaciones de Windows Defender: el malware TrickBot desactiva la monitorización en tiempo real para reducir las posibilidades de detección, junto con llamadas a funciones directas que utilizan células del sistema. Estos procesos mejoran la capacidad del malware para evadir los servicios de seguridad ofrecidos por Windows y las herramientas de monitorización de terceros.

Una vez en funcionamiento, TrickBot busca los datos del navegador y Microsoft Outlook, recopila información del sistema y de la red, roba las credenciales de dominio y puede evitar que las víctimas accedan a sus ordenadores.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos