El malware TrickBot incorpora funciones adicionales para evadir la detección

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

Después de que Microsoft y sus socios realizaran un ataque coordinado contra la infraestructura de TrickBot el mes pasado, se esperaba que les llevara algún tiempo recuperarse. Desafortunadamente, el grupo cibercriminal TrickBot ha lanzado la centésima versión del malware con funciones adicionales para evadir la detección.

TrickBot es conocido por finalizar un ataque dando acceso a los actores de amenazas detrás del ransomware Ryuk y Conti para empeorar las cosas. Esta infección de malware se instala comúnmente a través de correos electrónicos de phishing maliciosos u otro malware. Cuando se instala, TrickBot se ejecuta silenciosamente en la computadora de la víctima mientras descarga otros módulos para realizar diferentes tareas. Estos módulos realizan una amplia gama de actividades maliciosas, incluido el robo de la base de datos Active Directory Services de un dominio, la propagación lateral en una red, el bloqueo de pantalla, el robo de cookies y contraseñas del navegador, y el robo de claves OpenSSH.

Esta última versión fue descubierta por Vitali Kremez de Advanced Intel, quien descubrió que agregaron nuevas funciones para que sea más difícil de detectar. Con esta versión, TrickBot ahora está inyectando su DLL en el ejecutable legítimo wermgr.exe (Windows Problem Reporting) de Windows directamente desde la memoria usando código del proyecto 'MemoryModule'. Inicialmente iniciado como un ejecutable, TrickBot se inyectará en wermgr.exe y luego terminará el ejecutable original de TrickBot. Según Kremez, al inyectar la DLL, lo hará mediante Doppel Hollowing, o un procedimiento de doppelganging, para evadir la detección por parte del software de seguridad.