El malware TrickBot es nuevamente detectado por investigadores de ciberseguridad en la última investigación. Según ellos, los piratas informáticos detrás de este troyano bancario han mejorado sus tácticas fortaleciendo su defensa. Esto significa que este malware ahora puede evitar ataques de inyección web e incluso antivirus.
El malware TrickBot se está volviendo difícil de eliminar
Según un informe de Fideicomisario de IBM El lunes 24 de enero, los piratas informáticos de malware TrickBot intensificaron sus métodos insertando protección adicional para adaptarse a las inyecciones de malware.
Esta defensa mejorada se ha utilizado anteriormente durante el fraude bancario en línea, por lo que a los expertos en seguridad les resultará difícil resolver el problema. Además de eso, los ciberdelincuentes han estado más activos con la implementación de TrickBot desde que desapareció el troyano Dyre.
Originalmente, TrickBot comenzó como un troyano bancario, pero a medida que las prácticas de ciberseguridad se vuelven más estrictas, los piratas informáticos deben mantenerse al día con estas medidas de seguridad. Evolucionó hasta convertirse en un crimeware como servicio (CaaS) que utilizaba varios actores para distribuir cargas útiles de ransomware en el sistema.
Hasta la fecha se han descubierto varias variaciones de TrickBot. El más común es el módulo “Trickboot”, que es conocido por comprometer dispositivos al cambiar su firmware UEFI.
Propagación de malware en varias etapas
A pesar de los intentos de borrar completamente TrickBot, los expertos no lograron erradicar esta molestia cibernética. Los operadores sólo ampliaron sus métodos y propagaron TrickBot hasta convertirlo en un malware de varias etapas responsable de incidentes de spam y phishing.
Según un informe de Las noticias de los piratas informáticos, recientemente se descubrió que el malware Emotet, una vez muerto, se aprovechaba de TrickBot. La infección del sistema se extenderá aún más una vez que se elimine la herramienta de explotación Cobalt Strike-post.
En consonancia con esto, los investigadores detectaron el mes pasado que había casi 140.000 sistemas en 149 países afectados por TrickBot.
Inyecciones web en tiempo real
Hasta ahora, IBM Trusteer ha observado que robar credenciales bancarias ahora se puede lograr sin sudar. Se descubrió que TrickBot ahora puede evadir las inyecciones web en tiempo real. Esto señala que invadir un portal bancario es más fácil dirigiendo a los usuarios a dominios de réplica como parte de su ataque de hombre en el navegador (MiTB).
“Para facilitar la obtención de la inyección correcta en el momento adecuado, el malware residente TrickBot utiliza un descargador o un cargador de JavaScript (JS) para comunicarse con su servidor de inyección”, dijo Michael Gal, investigador web de seguridad de IBM.
Continuó diciendo que la pandilla detrás de esta peligrosa ciberamenaza estaba tanteando el terreno después de la desaparición de Dyre hace seis años. Según Gal, en medio de la pandemia de COVID-19, las operaciones continuaron mientras se producían intentos de derribo.
Además, los piratas informáticos han estado ideando métodos para obtener más ganancias mientras ajustan continuamente el modelo de malware actual.
Además, la función anti-depuración de TrickBot se basa en bloquear la página para provocar una sobrecarga de memoria. Esto impediría posteriormente a los investigadores de ciberseguridad implementar la posible solución para exterminar el malware.
Para saber más sobre los tipos de malware troyano, aquí tienes un artículo que puedes leer para obtener más información.
Este artículo es propiedad de Tech Times.
ⓒ 2023 . .
