Los investigadores de ciberseguridad han revelado el continuo resurgimiento del insidioso malware Trickbot, dejando claro que el grupo transnacional de ciberdelincuentes con sede en Rusia está trabajando entre bastidores para renovar su infraestructura de ataque en respuesta a los recientes esfuerzos de las fuerzas de seguridad.
«Las nuevas capacidades descubiertas se utilizan para monitorizar y recopilar información sobre las víctimas, utilizando un protocolo de comunicación personalizado para ocultar las transmisiones de datos entre los servidores [de mando y control] y las víctimas, lo que hace que los ataques sean difíciles de detectar», dijo Bitdefender en un escrito técnico publicado el lunes, lo que sugiere un aumento de la sofisticación de las tácticas del grupo.
«Trickbot no muestra signos de desaceleración», señalaron los investigadores.
Las redes de bots se forman cuando cientos o miles de dispositivos pirateados se incorporan a una red gestionada por operadores criminales, que a menudo se utilizan para lanzar ataques de denegación de red para bombardear empresas e infraestructuras críticas con tráfico falso con el objetivo de dejarlas fuera de servicio. Pero con el control de estos dispositivos, los actores maliciosos también pueden utilizar las redes de bots para difundir malware y spam, o para desplegar ransomware de encriptación de archivos en los ordenadores infectados.
Trickbot no es diferente. La conocida banda de ciberdelincuentes que está detrás de la operación -apodada Wizard Spider- tiene un historial de explotación de las máquinas infectadas para robar información sensible, pivotar lateralmente en una red e incluso convertirse en un cargador de otro malware, como el ransomware, al tiempo que mejora constantemente sus cadenas de infección añadiendo módulos con nuevas funcionalidades para aumentar su eficacia.
«TrickBot ha evolucionado hasta utilizar una compleja infraestructura que compromete servidores de terceros y los utiliza para alojar malware», reveló Lumen’s Black Lotus Labs el pasado octubre. «También infecta aparatos de consumo como routers DSL, y sus operadores criminales rotan constantemente sus direcciones IP y hosts infectados para dificultar al máximo la interrupción de su delito».
Desde entonces, la red de bots ha sobrevivido a dos intentos de desmantelamiento por parte de Microsoft y el Comando Cibernético de Estados Unidos, ya que los operadores han desarrollado componentes de intromisión en el firmware que podrían permitir a los hackers plantar una puerta trasera en la Interfaz de Firmware Extensible Unificada (UEFI), lo que les permitiría evadir la detección de antivirus, las actualizaciones de software o incluso un borrado y reinstalación total del sistema operativo del ordenador.
Ahora, según Bitdefender, el actor de la amenaza ha sido encontrado desarrollando activamente una versión actualizada de un módulo llamado «vncDll» que emplea contra objetivos selectos de alto perfil para la monitorización y la recopilación de inteligencia. La nueva versión ha sido denominada «tvncDll».
El nuevo módulo está diseñado para comunicarse con uno de los nueve servidores de mando y control (C2) definidos en su archivo de configuración, utilizándolo para recuperar un conjunto de comandos de ataque, descargar más cargas útiles de malware y exfiltrar los datos recopilados de la máquina de vuelta al servidor. Además, los investigadores dijeron haber identificado una «herramienta de visualización», que los atacantes utilizan para interactuar con las víctimas a través de los servidores C2.
Aunque los esfuerzos por aplastar las operaciones de la banda no han sido del todo exitosos, Microsoft dijo a The Daily Beast que trabajó con los proveedores de servicios de Internet (ISP) para ir de puerta en puerta reemplazando los routers comprometidos con el malware Trickbot en Brasil y América Latina, y que efectivamente se retiró la infraestructura de Trickbot en Afganistán.
Espero que les haya gustado la noticia, no olviden de compartir en las redes sociales.