El último malware lanzado con nuevas funciones


TrickBot

La banda de ciberdelincuentes TrickBot ha lanzado la versión número 100 del malware TrickBot con características adicionales para evadir la detección.

TrickBot es una infección de malware comúnmente instalada a través de correos electrónicos de phishing maliciosos u otro malware. Una vez instalado, TrickBot se ejecutará silenciosamente en la computadora de la víctima mientras descarga otros módulos para realizar diferentes tareas.

Estos módulos realizan una amplia gama de actividades maliciosas, incluido el robo de la base de datos de Active Directory de un dominio, la propagación lateral a través de una red, el bloqueo de la pantalla, el robo de cookies y contraseñas del navegador y el robo de claves. OpenSSH.

Se sabe que TrickBot lleva a cabo un ataque al dar acceso a las amenazas detrás del ransomware Ryuk y Conti para empeorar las cosas.

Índice()

    Nuevas funciones agregadas a TrickBot v100

    Después de que Microsoft y sus socios llevaron a cabo un ataque coordinado a la infraestructura de TrickBot el mes pasado, se esperaba que la recuperación tomara algún tiempo.

    Desafortunadamente, la pandilla TrickBot todavía está luchando, como lo demuestra el lanzamiento de la centésima versión del malware TrickBot.

    La última compilación fue descubierto por Advanced Intel's Vitali Kremez, quienes descubrieron que agregaron nuevas funciones para que sea más difícil de detectar.

    Con esta versión, TrickBot ahora está inyectando su DLL en el ejecutable legítimo de Windows wermgr.exe (Informe de problemas de Windows) directamente desde la memoria usando código del proyecto "MemoryModule".

    "MemoryModule es una biblioteca que se puede utilizar para cargar una DLL completamente desde la memoria, sin tener que archivarla primero en el disco", explica el proyecto. Página de GitHub.

    Código
    Código "MemoryModule" en TrickBot
    Fuente: Vitali Kremez

    Inicialmente iniciado como un ejecutable, TrickBot se inyectará en wermgr.exe y luego terminará el ejecutable original de TrickBot.

    TrickBot inyectado en Wermgr.exe
    TrickBot inyectado en Wermgr.exe

    Según Kremez, cuando inserte la DLL, lo hará usando Doppel Hollowing, o procesar la doble agrupación, para evitar la detección por parte del software de seguridad.

    "Esta técnica utiliza transacciones, una función de NTFS que le permite agrupar un conjunto de acciones en el sistema de archivos y, si alguna de estas acciones falla, se produce una reversión completa. El proceso del inyector crea una nueva transacción, dentro de lo cual crea un nuevo archivo que contiene la carga útil maliciosa. A continuación, asigna el archivo al proceso de destino y finalmente revierte la transacción. Esto hace que parezca que el archivo nunca existió, aunque su contenido todavía está dentro de la memoria del proceso, "un artículo sobre esta técnica explica el investigador de seguridad Francesco Muronie.

    Como puede ver, el ancho de banda de TrickBot no ha dejado que la interrupción de su infraestructura los detenga y siguen integrando nuevas funciones para evitar que el malware pase desapercibido.

    Desafortunadamente, esto significa que TrickBot está aquí para quedarse en el futuro previsible, y los consumidores y las empresas deben permanecer diligentes y ser inteligentes con los archivos adjuntos de correo electrónico que abren.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir