IBM comenta las novedades introducidas en TrickBot

Según los datos de IMB X-Force, el troyano bancario Trickbot ha aumentado su lista de blancos, y también su arsenal de técnicas para hacer manipulaciones con los navegadores de Internet.

“Pronosticamos la expansión de campañas maliciosas y ataques fraudulentos con un mayor enfoque en las cuentas de compañías y corporaciones”, escribe en su blog el experto de IBM en seguridad informática Limor Kessem.

Según él, TrickBot se ha estado desarrollando con mucha rapidez en los últimos tres meses, a medida que transcurría su desarrollo y periodo de pruebas. Ahora es un malware completamente funcional y capaz de mostrar “las más avanzadas técnicas de manipulación de navegadores entre las observadas en el malware bancario en los últimos dos años”, es decir, inyecciones efectuadas desde el servidor y redirecciones. Además, si al principio TrickBot se interesaba sobre todo en las cuentas de los bancos australianos, ahora también lanza ataques contra instituciones financieras en Nueva Zelanda, el Reino Unido, Alemania y Canadá.

Según Kessem, el nuevo troyano al principio no parecía ser un troyano bancario, pero en octubre empezó a hacer inyecciones web y su propósito se hizo evidente. Este mes, los investigadores documentaron las cambiantes tácticas de TrickBot. “A principios de noviembre, su alcance cambió literalmente en una noche, cuando los operadores de TrickBot lanzaron dos nuevas configuraciones”, afirma Kessem. “No se trataba de una trivial dirección URL añadida en la configuración sino que para los nuevos blancos, los bancos británicos, aparecieron redirecciones personalizadas. Es un método muy avanzado de manipular qué es lo que la víctima ve en su navegador”.

Teniendo en cuenta los resultados del análisis deTrickBot y la velocidad de su desarrollo, el experto concluyó que los atacantes crearon las redirecciones antes de llevar a cabo otras campañas, o que simplemente las compraron a otras agrupaciones.

Según IBM, TrickBot se propaga a través de publicidad maliciosa en tándem con el paquete de exploits RG, así como mediante archivos adjuntos en mensajes spam y macros de Office; en este último caso, el banquero llega con el descargador de Godzilla. Con todo, los propagadores del malware están haciendo cada vez más envíos selectivos, lo que hace que los investigadores confirmen sus sospechas de que TrickBot tiene más interés en las cuentas de compañías. “Envían spam malicioso a las compañías, no a cualquier dirección de correo electrónico”, constata Kessem. Esta es otra innovación deTrickBot.

Aquí podríamos aplicar el dicho de que lo único constante en la vida de TrickBot son su cambios. “Sus métodos de infección pueden cambiar en cualquier momento”, previene Kessem.

El experto cree que la causa del continuo desarrollo de este troyano son los contactos de sus operadores con otros distribuidores de malware y propietarios de botnets. A favor de esta suposición habla el hecho de que el cifrador utilizado por TrickBot (o más bien, su descargador), los bots de spam Cutwail y el troyano bancario Vawtrak sea el mismo. Esta función también la notaron los investigadores de Fidelis Cybersecurity en su informe sobre TrickBot publicado el mes pasado. De hecho, Fidelis también se inclina a notar ciertas similitudes entre TrickBot y Dyre.

Fuentes: Threatpost