TrickBot es un nuevo bot descubierto por Fidelis que ejecuta comandos desde un servidor de comando.
El bot TrickBot envia a traves de un correo electronico un archivo adjunto llamado Complaint.doc
. El documento malicioso contiene macros que se activan cuando se descarga y ejecuta TrickBot en el ordenador afectado.
El correo electrónico SPAM TrickBot actualmente se está enviando y tiene un tema de la casa de las compañías y pretende ser una queja sobre la compañía que se presentó en el Registro de empresas del Reino Unido llamada casa de las compañías.
Cuando se abre el archivo adjunto, se mostrará una alerta que indica que el objetivo tiene que hacer clic en Habilitar contenido con el fin de ver el contenido del documento.
Una vez que el usuario hace clic en el botón Habilitar contenido, las macros maliciosos contenidos en el documento se ejecutarán para descargar e instalar TrickBot.
Cuando se deobfusca las macros, nos queda un comando VB que descarga y ejecuta un archivo de la url: http://futuras.com/img/dododocdoc.exe
Una vez descargado el archivo, se guarda en la carpeta %Temp%
como sweezy.exe
y ejecutado. Una vez ejecutado, se copia en la carpeta %AppData%
y se inyecta una DLL en Svchost.exe
que se conectará a los servidores de comando y control para descargar nuevos plugins y recibir comandos para su ejecución.
Asimismo, se creará una tarea programada llama Bot, que iniciará el ejecutable de forma rutinaria para que Sweezy.exe
TrickBot siempre se está ejecutando.
Esta campaña parece que va ser fuerte y de acuerdo con VirusTotal no es detectado por muchos fabricantes de antivirus.
Archivos asociados con la campaña de Complaint.doc TrickBot
C:\Users\User\AppData\Roaming\client_idC:\Users\User\AppData\Roaming\group_tag
C:\Users\User\AppData\Roaming\Modules\
C:\Users\User\AppData\Roaming\Modules\injectDll64
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\dinj
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\dpost
C:\Users\User\AppData\Roaming\Modules\injectDll64_configs\sinj
C:\Users\User\AppData\Roaming\Modules\systeminfo64
C:\Users\User\AppData\Roaming\sweezy.exe
C:\Users\User\AppData\Roaming\sweezy.tmp
C:\Windows\System32\Tasks\Bot
Las entradas del registro asociadas con la campaña de Complaint.doc TrickBot
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D77878EF-0DC6-44A4-9E8E-B8BD92EFA644}\Path\BotHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Bot
Tráfico de red
http://futuras.com/img/dododocdoc.exehttp://petrosyan.merahost.ru/drug.bin
http://myexternalip.com/raw