La nueva versión de Trickbot incluye un módulo de captura de contraseñas

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Nacido como un simple troyano bancario, Trickbot ha recorrido un largo camino. Con el tiempo, hemos visto cómo los ciberdelincuentes continúan agregando más funciones a este malware. En marzo pasado, Trickbot agregó un nuevo módulo que le dio mayor capacidad de evasión y una función de bloqueo de pantalla. Pues bien, este mes Trickbot viene con un módulo de captura de contraseñas (pwgrab32) que roba las credenciales de acceso de varias aplicaciones y navegadores, como Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge. Según datos de Trend Micro, esta variante de Trickbot ha afectado principalmente a usuarios de los Estados Unidos, Canadá y Filipinas.

Los autores de malware siguen aprovechando la estructura modular de Trickbot: su capacidad para actualizarse continuamente mediante la descarga de nuevos módulos desde un servidor de C&C y cambiar su configuración hace que sea un malware que esté listo para ser actualizado. Respecto al nuevo módulo pwgrab32, además de robar los nombres de usuario y contraseñas de las aplicaciones, también roba las cookies, el historial de navegación y los rellenos de datos automáticos de varios navegadores web populares.

Trickbot generalmente se envía a través de campañas de spam maliciosas. El malware desactiva el antivirus incorporado de Windows, Windows Defender, al ejecutar ciertos comandos y modificar las entradas del registro. Además, también finaliza los procesos relacionados con Windows Defender, como MSASCuil.exe, MSASCui.exe y la utilidad antispyware Msmpeng.exe. También tiene un mecanismo de inicio automático (Msntcs) que se activa al inicio del sistema y cada diez minutos después de su primera ejecución.