Golpe a Trickbot; ESET, Microsoft y otras lograron desactivarlo
Trickbot es un virus que permite robar información bancaria de los usuarios de internet
ESET; Microsoft; el centro de investigación Black Lotus Labs, de Lumen; y NTT, entre otros, lograron desactivar los servidores de mando y control de Trickbot, una botnet conocida por robar credenciales en computadoras comprometidas y que realizó ataques más dañinos, como los protagonizados por ransomware.
ESET participó en el análisis técnico, proporcionando información estadística y nombres de dominio e IP conocidos de los servidores de mando y control; esta empresa ha dado seguimiento a las actividades de Trickbot desde su detección a finales de 2016.
En 2020, la plataforma de análisis de ESET revisó más de 125 mil muestras maliciosas y descargó y descifró más de 40 mil archivos de configuración utilizados por los diferentes módulos de Trickbot, lo que permitió a la compañía tener una excelente visión de los servidores de mando y control usados por esta botnet.
“A lo largo de todo este tiempo se ha observado cómo Trickbot comprometía dispositivos de una manera estable, convirtiéndola en una de las botnets más longevas. Trickbot es una de las familias de malware bancario más importantes y representa una amenaza para los usuarios de internet en todo el mundo”, explica Jean-Ian Boutin, responsable de investigación de amenazas en ESET.
En sus años de funcionamiento, Trickbot se ha distribuido de diferentes maneras; recientemente se observó cómo se descargaba en sistemas comprometidos por Emotet, otra botnet muy importante. En el pasado, era utilizado principalmente como un troyano bancario que robaba cuentas bancarias y pretendía realizar transferencias fraudulentas.
Uno de los complementos más antiguos desarrollados para la plataforma permitía a Trickbot utilizar ataques de inyección web, una técnica que permite al malware realizar cambios de forma dinámica en algunas páginas específicas que la víctima visite.
Trickbot es tan versátil pues sus funcionalidades se pueden ampliar con la instalación de plugins; ESET recopiló y analizó 28 diferentes, de los cuales algunos son destinados a recopilar contraseñas de navegadores, clientes de correo electrónico y una variedad de aplicaciones, mientras que otros podían modificar el tráfico de red o auto propagarse.
“Gracias a nuestro análisis, hemos recopilado decenas de miles de archivos diferentes de configuración, por lo que conocemos bien qué páginas web tenía Trickbot como objetivo, principalmente webs de entidades financieras. Intentar eliminar esta amenaza es un verdadero desafío, ya que cuenta con muchos mecanismos de recuperación y su conexión con otros actores muy activos del mundo criminal convierte la operación en algo extremadamente complejo”, concluye el investigador de ESET.
