Peligroso malware está atacando activamente a usuarios de Amazon, PayPal y otras empresas importantes
Investigadores revelaron que ciberdelincuentes están apuntando a 60 diferentes compañías de alto perfil con el malware TrickBot. El objetivo es atacar a los clientes de esas compañías, según Check Point Research (CPR), que están siendo cuidadosamente seleccionados para la victimización.
Según un artículo reciente de CPR, TrickBot está atacando a usuarios de marcas conocidas. Entre estas marcas destacan Amazon, American Express, JPMorgan Chase, Microsoft, Navy Federal Credit Union, PayPal, RBC y Yahoo, entre otras.
“Trickbot ataca a víctimas de alto perfil para robar las credenciales y proporcionar a sus operadores acceso a los portales con datos confidenciales donde pueden causar un daño mayor”.
Declaraciones de los investigadores en su informe.
En el frente técnico, la variante que se está utilizando en la campaña también ha agregado tres módulos interesantes. Asimismo, la variante tiene nuevos enfoques de ofuscación y antianálisis.
TrickBot regresa con nuevas funciones
El malware TrickBot era originalmente un troyano bancario, pero ha evolucionado mucho más allá de esos humildes comienzos. Actualmente se ha convertido en una amenaza de acceso inicial y ladrón de credenciales de amplio alcance. A menudo es responsable de obtener archivos binarios de segunda etapa, como ransomware.
Desde el muy publicitado desmantelamiento de su infraestructura por parte de las autoridades en octubre de 2020, la amenaza ha regresado. Y, ahora presenta más de 20 módulos diferentes que se pueden descargar y ejecutar a pedido. Por lo general, se propaga a través de correos electrónicos, aunque la última campaña agrega la autopropagación a través de la vulnerabilidad EternalRomance.
“Dichos módulos permiten la ejecución de todo tipo de actividades maliciosas. Por lo tanto, representan un gran peligro para los clientes de 60 compañías financieras y tecnológicas de alto perfil (incluidas las criptomonedas)”, advirtieron los investigadores de CPR. “Vemos que el malware es muy selectivo en la forma en que elige sus objetivos”.
También se ha visto trabajando en conjunto con un malware similar, Emotet, que sufrió su propio desmantelamiento en enero de 2021.
CPR solo en su propia telemetría descubrió que TrickBot en general ha realizado más de 140,000 infecciones exitosas desde el desmantelamiento. Asimismo, los investigadores notaron que ha vuelto a ocupar el primer lugar en las listas de prevalencia de malware.
Nuevos módulos para infecciones más eficaces
La versión de TrickBot que CPR descubrió que se usa en la campaña actual tiene tres módulos renovados importantes. Estos módulos son:
- inyectarDll
- tabDll
- pwgrabc
‘injectDll’ de TrickBot: un módulo de inyección web
Las inyecciones web son bien conocidas en el mundo de los troyanos bancarios. Estas se utilizan para mostrar a los objetivos facsímiles superpuestos de sitios de inicio de sesión bancarios reales. En otras palabras, cuando una víctima intenta iniciar sesión, roba los datos de la credencial y puede allanar el camino para vaciar cuentas bancarias y realizar transferencias bancarias fraudulentas en el futuro.
Este módulo en particular ha agregado un formato de inyección web del infame troyano bancario Zeus, dijeron los investigadores. El formato recopila información de las acciones de inicio de sesión en sitios específicos y la envía a un servidor de comando y control (C2).
El módulo injectDll
realiza la inyección de datos del navegador, incluido JavaScript, que se dirige a los clientes de 60 empresas de alto perfil. Si agregamos la cuidadosa selección de víctimas de Trickbot, la amenaza se vuelve aún más peligrosa.
Técnicas de antianálisis
En el frente del antianálisis, el payload inyectado en la página del sitio bancario se minifica (elimina los caracteres innecesarios del código, haciendo que el código sea ilegible), se ofusca y contiene técnicas anti-desofuscación. El payload final contiene el código real que capta las pulsaciones de teclas de la víctima y las acciones de envío de formularios web. Este también está minimizado y ofuscado y contiene algunas capas de técnicas anti-desofuscación.
Por lo general, un investigador intenta analizar el código JavaScript minificado y ofuscado utilizando herramientas como JavaScript Beautifiers, desofuscadores como de4js, etc. “Después de aplicar estas herramientas, notamos que aunque el código se volvió más legible, también dejó de funcionar”, afirmaron los invesrigadores.
Otra técnica antianálisis que observaron involucró a los investigadores que enviaban solicitudes automatizadas al C2 para obtener nuevas inyecciones web. “Si no hay un encabezado ‘Referer
‘ en la solicitud, el servidor no responde con una inyección web válida”.
No solo vemos variantes creadas en base a malware exitoso más reciente, sino que incluso vemos que los ciberdelincuentes usan malware que tiene incluso veinte años para generar nuevas variantes. Con TrickBot podemos ver que incluso cuando un grupo de ciberdelincuentes se divide, su legado sigue vivo. Esto porque otros grupos pueden incorporar sus herramientas, tácticas y procedimientos con sus propias modificaciones y mejoras para evadir las técnicas de detección actuales.
Módulo ‘tabDLL’ de TrickBot
El segundo nuevo desarrollo es una biblioteca de enlaces dinámicos (DLL), que también se usa para obtener las credenciales de los usuarios. Su objetivo final es propagar el malware a través de redes compartidas.
tabDLL
utiliza un proceso de varios pasos, tal como mostraron los investigadores. En secuencia, el módulo hace lo siguiente:
- Habilitar el almacenamiento de información de credenciales de usuario en la aplicación LSASS;
- Inyectar el módulo “Locker” en la aplicación legítima explorer.exe;
- Desde el explorer.exe infectado, obliga al usuario a ingresar las credenciales de inicio de sesión en la aplicación, luego bloquea la sesión del usuario;
- Guardar las credenciales en la memoria de la aplicación LSASS;
- Obtener las credenciales de la memoria de la aplicación LSASS usando Mimikatz. Mimikatz es una herramienta de código abierto para extraer datos de la memoria de una aplicación;
- Reportar credenciales al C2;
- Y usar el exploit EternalRomance para propagarse a otros objetivos dentro de la red a través de recursos compartidos de red SMBv1.
Módulo ‘pwgrabc’ de TrickBot
El módulo pwgrabc
, como sugiere su nombre, es un ladrón de credenciales general para varias aplicaciones.
Las aplicaciones objetivo son las siguientes: AnyConnect; Chrome; ChromeBeta; Edge; EdgeBeta; Filezilla; Firefox; Git; Internet Explorer; KeepPass; OpenSSH; OpenVPN; Outlook; Precious; Putty; RDCMan; RDP; TeamViewer; VNC y WinSCP
En general, la campaña es una buena combinación de habilidades, concluyeron los investigadores.
“Según nuestro análisis técnico, podemos ver que los autores de TrickBot tienen las habilidades para abordar el desarrollo de malware desde un nivel muy bajo y prestar atención a los pequeños detalles. Mientras tanto… Sabemos que los operadores detrás de la infraestructura también tienen mucha experiencia en el desarrollo de malware a un alto nivel. TrickBot sigue siendo una amenaza peligrosa”.