La nueva versión de Trickbot incluye un módulo de captura de contraseñas
- Endpoint
El troyano bancario permite ahora robar las credenciales de acceso de varias aplicaciones y navegadores, como Microsoft Outlook, Google Chrome, Mozilla Firefox y Microsoft Edge. Esta variante de Trickbot ha afectado a usuarios de los Estados Unidos, Canadá y Filipinas.
También puedes leer... |
Nacido como un simple troyano bancario, Trickbot ha recorrido un largo camino. Con el tiempo, hemos visto cómo los ciberdelincuentes continúan agregando más funciones a este malware. En marzo pasado, Trickbot agregó un nuevo módulo que le dio mayor capacidad de evasión y una función de bloqueo de pantalla. Pues bien, este mes Trickbot viene con un módulo de captura de contraseñas (pwgrab32) que roba las credenciales de acceso de varias aplicaciones y navegadores, como Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer y Microsoft Edge. Según datos de Trend Micro, esta variante de Trickbot ha afectado principalmente a usuarios de los Estados Unidos, Canadá y Filipinas.
Los autores de malware siguen aprovechando la estructura modular de Trickbot: su capacidad para actualizarse continuamente mediante la descarga de nuevos módulos desde un servidor de C&C y cambiar su configuración hace que sea un malware que esté listo para ser actualizado. Respecto al nuevo módulo pwgrab32, además de robar los nombres de usuario y contraseñas de las aplicaciones, también roba las cookies, el historial de navegación y los rellenos de datos automáticos de varios navegadores web populares.
Trickbot generalmente se envía a través de campañas de spam maliciosas. El malware desactiva el antivirus incorporado de Windows, Windows Defender, al ejecutar ciertos comandos y modificar las entradas del registro. Además, también finaliza los procesos relacionados con Windows Defender, como MSASCuil.exe, MSASCui.exe y la utilidad antispyware Msmpeng.exe. También tiene un mecanismo de inicio automático (Msntcs) que se activa al inicio del sistema y cada diez minutos después de su primera ejecución.