Nueva característica de TrickBot lanza ataques de fuerza bruta a sistemas RDP expuestos


TrickBot es conocido como un Troyano dirigido a las redes bancarias, con la finalidad de capturar credenciales bancarias, correos electrónicos, información de los sistemas y la red. Además de tener la capacidad de inyectar otros malware, donde comúnmente suele ser un Ransomware, el cual cifra la información robada, con el fin de pedir un restate y amenzar a la entidad empresarial afectada con publicarla, de no hacerse el pago.

Recientemente ha sido descubierto un nuevo módulo para el Troyano bancario TrickBot, este permite a los atacantes aprovecharse de los sistemas comprometidos para lanzarles ataques de fuerza bruta a los sistemas Windows que tengan expuesta a internet las conexiones que estén utilizando el protocolo de escritorio remoto (RDP) hacia internet.

El módulo fue llamado por los investigadores “rdpScanDll”, dicha característica fue detectado anteriormente a finales de Enero, pero aún estaba en desarrollo y etapa temprana y actualmente han avanzado en su desarrollo. Destacaron que los autores detrás de TrickBot están dedicados a lanzar nuevos módulos y versiones del troyano en un intento de expandir y refinar sus capacidades.

De acuerdo a los expertos, el módulo de fuerza bruta rdpScanDll ha tenido como objetivo a 6.013 servidores RDP de empresas de telecomunicaciones principalmente, educación y sectores financieros, solamente en los Estados Unidos y Hong Kong.


Gráfica de objetivos de TrickBot con RDP expuestos en US y Hong Kong


Desde el momento que TrickBot comienza su ejecución, crea un carpeta con las cargas útiles (payloads) maliciosas encriptadas, sus archivos de configuración asociados, junto con una lista de servidores de comando y control (C2), necesarios para la comunicación de los complementos (plugins) y así recibir los comandos a ejecutar. Donde el complemento “rdpScanDll” comparte su archivo de configuración con otro módulo llamado “vncDll”, mientras utiliza un formato URL estándar “https://C&C/tag/computerID/controlEndpoint” para comunicarse con los nuevos servidores C2. Donde, “C&C” se refiere al servidor C2, “tag” la etiqueta asignada a un grupo usado por TrickBot, “ComputerID” el identificador usado por el malware, “controlEndpoint” es una lista de modos de ataques (check, trybrute y brute) y la lista de combinaciones de direcciones Ip con sus puertos para ser atacados por fuerza bruta hacia el RDP expuesto.

El “check” es el modo de verificación para una conexión RDP de la lista de objetivos, el modo “trybrute” es un intento de un ataque de fuerza bruta en el objetivo seleccionado, utilizando una lista predeterminada de nombres de usuario y contraseñas obtenidas de los endpoints “rdp/names” y “/rdp/dict” respectivamente. Por último, “brute” es el modo que al parecer para los investigadores, aún está en desarrollo, debido a que no solo no tiene un conjunto de funciones ejecutables que no son invocables, el modo tampoco obtiene la lista de nombres de usuario, lo que hace que el complemento utilice contraseñas y nombres de usuario nulos para intentar autenticarse en la lista de objetivos.

Al agotarse la lista inicial de IPs objetivo que fueron recopiladas por medio de “/rdp/domains”, el plugin recupera otro conjunto de nuevas IPs utilizando un segundo enpoint “rdp/over”.

Además, Trickbot ha actualizado su mecanismo de envío, por medio de los plugins que son responsables del movimiento lateral a través de la red (WormDll, TabDll, ShareDll), los módulos de reconocimiento de la red (SystemInfo, NetworkDll), y los recolectores de datos (ImportDll, Pwgrab, aDll) por los últimos seis meses.



Indicadores de Compromiso (IoC)


Servidores de Comando y Control (C2)

45[.]148[.]120[.]13[:]443
5[.]2[.]78[.]77[:]443
107[.]172[.]165[.]149[:]443
45[.]148[.]120[.]14[:]443
23[.]95[.]231[.]164[:]447
51[.]89[.]73[.]154[:]447
45[.]148[.]120[.]31[:]447
178[.]156[.]202[.]143[:]447
198[.]23[.]252[.]136[:]447
64[.]44[.]133[.]39[:]447
146[.]185[.]253[.]170[:]447
185[.]252[.]144[.]64[:]447



Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,1,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,3,Ciberataque,4,Cibercrimen,135,Ciberdelincuencia,9,ciberseguridad,141,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,1,Ecommerce,3,elasticsearch,1,Email,2,Emotet,2,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,2,exploit,7,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,1,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LG,1,Linux,9,LSASS,1,Macromedia,1,Malware,45,Malwares,32,Maze,1,Messenger,1,MFA,1,Microsoft,37,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,18,RAT,2,RCE,2,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Salt,1,Salud,2,SeguridadTI,1,Servicios,6,Smartphones,29,SMB,5,Software,23,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,34,Vulnerabilidades,76,Web,8,WhatsApp,5,wifi,5,Windows,19,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Nueva característica de TrickBot lanza ataques de fuerza bruta a sistemas RDP expuestos
Nueva característica de TrickBot lanza ataques de fuerza bruta a sistemas RDP expuestos
https://1.bp.blogspot.com/-a8QcIb39TYY/XnJP4nZ9rnI/AAAAAAAAB6E/Q7qSyU8Hb5UjElj2b1kj9n7CYVok5ymPACLcBGAsYHQ/s640/TrickBot%2BRDP%2BModule.jpg
https://1.bp.blogspot.com/-a8QcIb39TYY/XnJP4nZ9rnI/AAAAAAAAB6E/Q7qSyU8Hb5UjElj2b1kj9n7CYVok5ymPACLcBGAsYHQ/s72-c/TrickBot%2BRDP%2BModule.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/03/nueva-caracteristica-de-trickbot-lanza.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/03/nueva-caracteristica-de-trickbot-lanza.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy