COMO ACTUA EL BOT TRICKBOT

Fecha actualización el 2016-11-3. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio

TrickBot es un nuevo bot descubierto por Fidelis que ejecuta comandos desde un servidor de comando.

El bot TrickBot envia a traves de un correo electronico un archivo adjunto llamado Complaint.doc. El documento malicioso contiene macros que se activan cuando se descarga y ejecuta TrickBot en el ordenador afectado.

El correo electrónico SPAM TrickBot actualmente se está enviando y tiene un tema de la casa de las compañías y pretende ser una queja sobre la compañía que se presentó en el Registro de empresas del Reino Unido llamada casa de las compañías.

Cuando se abre el archivo adjunto, se mostrará una alerta que indica que el objetivo tiene que hacer clic en Habilitar contenido con el fin de ver el contenido del documento.

Una vez que el usuario hace clic en el botón Habilitar contenido, las macros maliciosos contenidos en el documento se ejecutarán para descargar e instalar TrickBot.

Cuando se deobfusca las macros, nos queda un comando VB que descarga y ejecuta un archivo de la url: http://futuras.com/img/dododocdoc.exe

Una vez descargado el archivo, se guarda en la carpeta %Temp% como sweezy.exe y ejecutado. Una vez ejecutado, se copia en la carpeta %AppData% y se inyecta una DLL en Svchost.exe que se conectará a los servidores de comando y control para descargar nuevos plugins y recibir comandos para su ejecución.

Asimismo, se creará una tarea programada llama Bot, que iniciará el ejecutable de forma rutinaria para que Sweezy.exe TrickBot siempre se está ejecutando.

Esta campaña parece que va ser fuerte y de acuerdo con VirusTotal no es detectado por muchos fabricantes de antivirus.

Archivos asociados con la campaña de Complaint.doc TrickBot

C:\Users\User\AppData\Roaming\client_id
C:\Users\User\AppData\Roaming\group_tag
C:\Users\User\AppData\Roaming\Modules\
C:\Users\User\AppData\Roaming\Modules\injectDll64
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\dinj
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\dpost
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\sinj
C:\Users\User\AppData\Roaming\Modules\systeminfo64
C:\Users\User\AppData\Roaming\sweezy.exe
C:\Users\User\AppData\Roaming\sweezy.tmp
C:\Windows\System32\Tasks\Bot

Las entradas del registro asociadas con la campaña de Complaint.doc TrickBot

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D77878EF-0DC6-44A4-9E8E-B8BD92EFA644}\Path\Bot
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Bot

Tráfico de red

http://futuras.com/img/dododocdoc.exe
http://petrosyan.merahost.ru/drug.bin
http://myexternalip.com/raw

Comenta y comparte en Compartir en Google+
bot TrickBot