TrickBot es conocido como un Troyano dirigido a las redes bancarias, con la finalidad de capturar credenciales bancarias, correos electrónicos, información de los sistemas y la red. Además de tener la capacidad de inyectar otros malware, donde comúnmente suele ser un Ransomware, el cual cifra la información robada, con el fin de pedir un restate y amenzar a la entidad empresarial afectada con publicarla, de no hacerse el pago.
Recientemente ha sido descubierto un nuevo módulo para el Troyano bancario TrickBot, este permite a los atacantes aprovecharse de los sistemas comprometidos para lanzarles ataques de fuerza bruta a los sistemas Windows que tengan expuesta a internet las conexiones que estén utilizando el protocolo de escritorio remoto (RDP) hacia internet.
El módulo fue llamado por los investigadores “rdpScanDll”, dicha característica fue detectado anteriormente a finales de Enero, pero aún estaba en desarrollo y etapa temprana y actualmente han avanzado en su desarrollo. Destacaron que los autores detrás de TrickBot están dedicados a lanzar nuevos módulos y versiones del troyano en un intento de expandir y refinar sus capacidades.
De acuerdo a los expertos, el módulo de fuerza bruta rdpScanDll ha tenido como objetivo a 6.013 servidores RDP de empresas de telecomunicaciones principalmente, educación y sectores financieros, solamente en los Estados Unidos y Hong Kong.
Gráfica de objetivos de TrickBot con RDP expuestos en US y Hong Kong
Desde el momento que TrickBot comienza su ejecución, crea un carpeta con las cargas útiles (payloads) maliciosas encriptadas, sus archivos de configuración asociados, junto con una lista de servidores de comando y control (C2), necesarios para la comunicación de los complementos (plugins) y así recibir los comandos a ejecutar. Donde el complemento “rdpScanDll” comparte su archivo de configuración con otro módulo llamado “vncDll”, mientras utiliza un formato URL estándar “https://C&C/tag/computerID/controlEndpoint” para comunicarse con los nuevos servidores C2. Donde, “C&C” se refiere al servidor C2, “tag” la etiqueta asignada a un grupo usado por TrickBot, “ComputerID” el identificador usado por el malware, “controlEndpoint” es una lista de modos de ataques (check, trybrute y brute) y la lista de combinaciones de direcciones Ip con sus puertos para ser atacados por fuerza bruta hacia el RDP expuesto.
El “check” es el modo de verificación para una conexión RDP de la lista de objetivos, el modo “trybrute” es un intento de un ataque de fuerza bruta en el objetivo seleccionado, utilizando una lista predeterminada de nombres de usuario y contraseñas obtenidas de los endpoints “rdp/names” y “/rdp/dict” respectivamente. Por último, “brute” es el modo que al parecer para los investigadores, aún está en desarrollo, debido a que no solo no tiene un conjunto de funciones ejecutables que no son invocables, el modo tampoco obtiene la lista de nombres de usuario, lo que hace que el complemento utilice contraseñas y nombres de usuario nulos para intentar autenticarse en la lista de objetivos.
Al agotarse la lista inicial de IPs objetivo que fueron recopiladas por medio de “/rdp/domains”, el plugin recupera otro conjunto de nuevas IPs utilizando un segundo enpoint “rdp/over”.
Además, Trickbot ha actualizado su mecanismo de envío, por medio de los plugins que son responsables del movimiento lateral a través de la red (WormDll, TabDll, ShareDll), los módulos de reconocimiento de la red (SystemInfo, NetworkDll), y los recolectores de datos (ImportDll, Pwgrab, aDll) por los últimos seis meses.
Indicadores de Compromiso (IoC)
Servidores de Comando y Control (C2)
45[.]148[.]120[.]13[:]443
5[.]2[.]78[.]77[:]443
107[.]172[.]165[.]149[:]443
45[.]148[.]120[.]14[:]443
23[.]95[.]231[.]164[:]447
51[.]89[.]73[.]154[:]447
45[.]148[.]120[.]31[:]447
178[.]156[.]202[.]143[:]447
198[.]23[.]252[.]136[:]447
64[.]44[.]133[.]39[:]447
146[.]185[.]253[.]170[:]447
185[.]252[.]144[.]64[:]447
Fuente:
Fuente:
COMENTARIOS