Nueva variante del troyano bancario Trickbot deshabilita Windows Defender


Una nueva versión del troyano bancario TrickBot ha sido descubierto, el cual muestra una continua evolución para evitar la detección y eliminación de los software de seguridad. En esta nueva variante, TrickBot hace foco a Windows Defender, que próximamente pasará a llamarse Microsoft Defender según fuentes oficiales; para muchos usuarios, es la única solución de seguridad instalada en los equipos bajo con el último sistema operativo de la compañía.

TrickBot es un troyano bancario utilizado para robar credenciales bancarias en línea, billeteras de criptomonedas, información del navegador y otras credenciales guardadas en el equipo y navegador. Bastante popular dentro de los actores de amenazas, descubierto por primera vez en 2016, se estima que ya ha comprometido a más de 250 millones de cuentas de correo electrónico.

Microsoft siempre ha estado pendiente en lo que respecta a las campañas de ataque de Trickbot, debido a que el vector se realiza por medio de archivos de Word y Excel maliciosos. La última campaña está dirigida a usuarios de Windows 10 e implementa una página de Office 365 altamente “convincente”, pero por supuesto falsa, para solicitar actualizaciones del navegador que finalmente instala el troyano.

Cuando se ejecuta TrickBot, primero se inicia un cargador que prepara el sistema al desactivar los servicios y procesos de Windows asociados con el software de seguridad y realizar la elevación para obtener mayores privilegios del sistema. Al terminar aquella fase, se cargará el componente "núcleo" al inyectar un archivo DLL que se encarga de descargar los módulos utilizados para robar información de la computadora.

El flujo de esta nueva variante es el siguiente:
  1. Deshabilita y luego elimina el servicio WinDefend .
  2. Termina los  procesos MsMpEng.exe , MSASCuiL.exeMSASCui.exe.
  3. Agrega la política de Windows DisableAntiSpyware y la establece en true para deshabilitar Windows Defender como tal y posiblemente otro software.
  4. Deshabilita las notificaciones de seguridad de Windows.
  5. Deshabilita la protección en tiempo real de Windows Defender.
Cuando TrickBot detecta ciertos softwares de seguridad instalados, configura un depurador para ese proceso utilizando la clave del registro de opciones de ejecución de archivos de imagen (IFEO). Esto hace que el depurador se inicie antes de que el programa se ejecute, y si ese depurador no existe, el programa esperado no se iniciará.

Los desarrolladores de TrickBot están constantemente monitoreando nuevas tácticas y métodos para evitar la seguridad y mantener a los investigadores alerta, y dar por hecho que esta situación puede continuar por mucho tiempo más.


REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,24,Antivirus,3,Apple,13,Apps,10,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,104,ciberseguridad,69,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,1,Empresas,108,Eventos,4,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,24,Hacking,78,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,32,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,20,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,11,Ransomware,7,Recomendaciones,14,Redes,27,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,27,Software,23,Spyware,10,updates,21,Vulnerabilidades,59,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Nueva variante del troyano bancario Trickbot deshabilita Windows Defender
Nueva variante del troyano bancario Trickbot deshabilita Windows Defender
https://1.bp.blogspot.com/-YnXU1PVIcNU/XUGxfc5IFFI/AAAAAAAABlg/ToqojHFgAOAoAk03_XnKc544mMSFsQTiwCLcBGAs/s640/Trickbotjpg.jpg
https://1.bp.blogspot.com/-YnXU1PVIcNU/XUGxfc5IFFI/AAAAAAAABlg/ToqojHFgAOAoAk03_XnKc544mMSFsQTiwCLcBGAs/s72-c/Trickbotjpg.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/07/nueva-variante-del-troyano-bancario.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/07/nueva-variante-del-troyano-bancario.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy