Una nueva versión del troyano bancario TrickBot ha sido descubierto, el cual muestra una continua evolución para evitar la detección y eliminación de los software de seguridad. En esta nueva variante, TrickBot hace foco a Windows Defender, que próximamente pasará a llamarse Microsoft Defender según fuentes oficiales; para muchos usuarios, es la única solución de seguridad instalada en los equipos bajo con el último sistema operativo de la compañía.
TrickBot es un troyano bancario utilizado para robar credenciales bancarias en línea, billeteras de criptomonedas, información del navegador y otras credenciales guardadas en el equipo y navegador. Bastante popular dentro de los actores de amenazas, descubierto por primera vez en 2016, se estima que ya ha comprometido a más de 250 millones de cuentas de correo electrónico.
Microsoft siempre ha estado pendiente en lo que respecta a las campañas de ataque de Trickbot, debido a que el vector se realiza por medio de archivos de Word y Excel maliciosos. La última campaña está dirigida a usuarios de Windows 10 e implementa una página de Office 365 altamente “convincente”, pero por supuesto falsa, para solicitar actualizaciones del navegador que finalmente instala el troyano.
Cuando se ejecuta TrickBot, primero se inicia un cargador que prepara el sistema al desactivar los servicios y procesos de Windows asociados con el software de seguridad y realizar la elevación para obtener mayores privilegios del sistema. Al terminar aquella fase, se cargará el componente "núcleo" al inyectar un archivo DLL que se encarga de descargar los módulos utilizados para robar información de la computadora.
El flujo de esta nueva variante es el siguiente:
- Deshabilita y luego elimina el servicio WinDefend .
- Termina los procesos MsMpEng.exe , MSASCuiL.exe y MSASCui.exe.
- Agrega la política de Windows DisableAntiSpyware y la establece en true para deshabilitar Windows Defender como tal y posiblemente otro software.
- Deshabilita las notificaciones de seguridad de Windows.
- Deshabilita la protección en tiempo real de Windows Defender.
Cuando TrickBot detecta ciertos softwares de seguridad instalados, configura un depurador para ese proceso utilizando la clave del registro de opciones de ejecución de archivos de imagen (IFEO). Esto hace que el depurador se inicie antes de que el programa se ejecute, y si ese depurador no existe, el programa esperado no se iniciará.
Los desarrolladores de TrickBot están constantemente monitoreando nuevas tácticas y métodos para evitar la seguridad y mantener a los investigadores alerta, y dar por hecho que esta situación puede continuar por mucho tiempo más.
REFERENCIA
COMENTARIOS