Qué es el malware TrickBot y cómo puede protegerse

Articulos tematica Microsoft

Una de las redes de bots más persistentes de todos los tiempos, el malware TrickBot ha evolucionado con el tiempo. He aquí cómo protegerse.

El malware TrickBot se diseñó originalmente para robar credenciales bancarias, pero poco a poco se ha convertido en una plataforma multipropósito que ahora representa un grave riesgo para las computadoras y redes domésticas.

Averigüemos cómo se distribuye este malware, los tipos de riesgos que plantea y qué podemos hacer como usuarios de computadoras para protegernos.

Antecedentes del malware TrickBot

TrickBot, también conocido como TrickLoader, surgió en 2016 como un virus troyano que fue diseñado para engañar a los servicios financieros y a los usuarios de la banca en línea. Al robar las credenciales bancarias, el virus iniciaría sesiones de navegación falsas y realizaría transacciones fraudulentas directamente desde las computadoras de la víctima.

Debido a su naturaleza modular, este malware ahora se ha convertido en una plataforma completa con varios módulos de complemento, capacidades de cripto-minería y una asociación interminable con infecciones de ransomware.

Lo que es peor, los actores de amenazas detrás de su operación actualizan constantemente su software para hacerlo lo más invencible posible.

¿Cómo se distribuye TrickBot?

Históricamente, este malware se propaga a través de ataques de phishing y MalSpam; estas siguen siendo las formas más destacadas de su difusión.

Estos métodos incluyen principalmente campañas de spearphishing que utilizan correos electrónicos personalizados con enlaces maliciosos y archivos adjuntos enviados a los destinatarios. Una vez que estos enlaces están habilitados, se distribuye el malware TrickBot.

Las campañas de spearphishing también pueden incluir señuelos como facturas, avisos de envío falsos, pagos, recibos y muchas otras ofertas financieras. A veces, estas ofertas también pueden estar inspiradas en eventos actuales. TrickBot también tiene tres veces y media más probabilidades de afectar las redes de oficinas domésticas en comparación con las redes corporativas.

En un entorno corporativo, un TrickBot se puede difundir mediante los siguientes dos métodos:

Vulnerabilidades de red: TrickBot normalmente aprovecha el protocolo de bloque de mensajes de servidor (SMB) de una organización para propagarse. Este protocolo es el que permite a las computadoras con Windows dispersar información entre otros sistemas en la misma red.

Carga útil secundaria: TrickBot también se puede propagar a través de infecciones secundarias y otro malware troyano potente como Emotet .

¿Qué riesgos presenta el malware TrickBot?

Desde su inicio, el malware TrickBot ha sido una gran preocupación para todo tipo de usuarios, pero con el tiempo se ha expandido a malware modular que lo hace fácilmente expandible.

Estos son algunos de los factores de riesgo que plantea TrickBot.

Robo de credenciales

TrickBot está diseñado para robar datos privados de un usuario. Logra su misión al robar las credenciales de inicio de sesión y las cookies del navegador cuando los usuarios realizan sesiones bancarias en línea.

Instalaciones de puerta trasera

TrickBot también puede permitir el acceso a cualquier sistema de forma remota como parte de una botnet .

Elevaciones de privilegios

Al espiar a los objetivos y obtener acceso e información al sistema, este malware puede proporcionar acceso de alto privilegio a sus controladores, como credenciales de inicio de sesión, acceso al correo electrónico y acceso a los controladores de dominio.

Descarga de otros tipos de malware

TrickBot puede permitir la descarga de otro malware.

Esencialmente un troyano, TrickBot aterriza en su dispositivo disfrazado de inocentes archivos adjuntos de correo electrónico o documentos PDF, pero una vez dentro de un sistema, puede causar estragos al descargar otro malware como Ryuk ransomware o Emotet.

Auto-modificación para evitar la detección

Debido a su naturaleza modular, cada instancia de TrickBot puede ser diferente de las demás. Esto proporciona a los ciberdelincuentes la posibilidad de personalizar este malware para que sea menos detectable y notorio.

Sus variantes más nuevas, como el "nworm", ahora están diseñadas para no dejar rastros en el dispositivo de la víctima, ya que desaparecen por completo después de un apagado o reinicio.

Cómo quitar TrickBot una vez detectado

Incluso el malware más intimidante puede tener fallas de desarrollo. La clave es encontrar esos defectos y explotarlos para derrotar al malware. Lo mismo ocurre con TrickBot.

Una infección de TrickBot se puede eliminar manualmente o mediante el uso de un software antivirus robusto como Malware Bytes, que está diseñado para eliminar este tipo de malware. Eliminarlo con un paquete de antivirus proporciona un mejor resultado, ya que la eliminación manual puede ser complicada a veces.

Después de determinar el vector de infección, la máquina infectada debe desconectarse de la red lo antes posible y todos los recursos compartidos administrativos deben desactivarse.

Una vez que se elimina el malware, todas las credenciales y contraseñas de la cuenta deben cambiarse en toda la red para evitar infecciones futuras.

Consejos para protegerse contra el malware TrickBot

Para protegerse de cualquier infección de malware, es importante comprender cómo funcionan. A continuación, le indicamos cómo protegerse contra el Trickbot.

  • Ofrezca capacitación en phishing, ciberseguridad e ingeniería social a todos los empleados. Si es un usuario doméstico individual, intente informarse sobre los ataques de phishing y manténgase alejado de los enlaces sospechosos.
  • Busque posibles IOC (indicadores de compromiso) utilizando herramientas diseñadas específicamente para detectar malware como TrickBot. Esto ayudará a identificar las máquinas infectadas en su red.
  • Aísle las máquinas identificadas e infectadas tan pronto como pueda para evitar una mayor propagación.
  • Descargue y aplique parches que tengan en cuenta el tipo de vulnerabilidades que explota TrickBot.
  • Deshabilite todos los recursos compartidos administrativos y cambie todas las contraseñas locales y de red.
  • Invierta en un programa de protección de ciberseguridad de múltiples capas, específicamente aquellos que pueden detectar y bloquear dicho malware en tiempo real.
  • Aplique siempre el principio de privilegio mínimo (POLP) que garantiza que los usuarios tengan el nivel mínimo de acceso requerido para cumplir con sus tareas. Las credenciales administrativas solo deben asignarse a administradores.
  • Considere la posibilidad de crear una política de correo electrónico sospechoso para que todos los correos electrónicos sospechosos se informen a sus departamentos de TI o seguridad.
  • Bloquee todas las direcciones IP sospechosas en el nivel del firewall e implemente filtros para correos electrónicos con indicadores de MalSpam conocidos.

Semrush sigue a tu competencia

Fecha actualización el 2021-06-29. Fecha publicación el 2021-06-29. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: makeuseof