Trickbot una vez conocido como un troyano bancario con capacidades de phishing se ha actualizado últimamente con nuevos módulos de malware diseñados para expandir sus capacidades y permitir que los actores detrás de él recopilen aún más datos de máquinas comprometidas.
Según lo informado por Trend Micro , el bloqueo de pantalla y las evasiones de detección se agregaron a Trickbot en marzo, y este mes sus autores agregaron un nuevo módulo de captura de contraseñas (también conocido como PasswordGrabber) que permite recopilar y eliminar contraseñas de sistemas infectados.
Además, Trickbot ahora puede buscar contraseñas en los programas Microsoft Outlook, Filezilla y WinScp y en los navegadores web Google Chrome, Mozilla Firefox , Internet Explorer y Microsoft Edge.
La nueva variante de Trickbot ha sido observada por Trend Micro mientras atacaba a víctimas de múltiples países en todo el mundo, siendo Estados Unidos, Canadá y Filipinas los más afectados.
Los desarrolladores de Trickbot actualizan sus capacidades empujando los nuevos módulos del servidor de comando y control (C&C) del malware.
El módulo de captura de contraseñas recientemente agregado también está diseñado para buscar, recopilar y eliminar nombres de usuario y contraseñas, cookies de Internet, historial de navegación, autocompletados y publicaciones HTTP a sus maestros.
El módulo PasswordGrabber puede recopilar contraseñas de navegadores web y programas de Windows
La buena noticia, por ahora, es que el módulo de malware PasswordGrabber de Trickbot no robará las contraseñas de los administradores de contraseñas instalados en las máquinas infectadas, pero los investigadores de Trend Micro aún no han podido investigar la capacidad del troyano para adquirir datos de los complementos de su navegador.
Trickbot ahora también es capaz de lograr persistencia en las computadoras comprometidas al agregar un servicio de inicio automático de Windows capaz de reiniciar el troyano después de cada reinicio del sistema.
El malware Trickbot infecta objetivos a través de campañas de publicidad maliciosa, pero también puede auto propagarse utilizando métodos automatizados de propagación tipo gusano.
TrickBot se detectó por primera vez en 2016, y se cree que se basa en el troyano bancario Dyreza. Además de poder atacar e infectar a una gran variedad de bancos internacionales que utilizan módulos de proyectos web para inyectar código JavaScript y HTML en los sitios web antes de ser procesados en el navegador web del objetivo.
También es capaz de robar criptomonedas de las billeteras de Bitcoin, así como recopilar credenciales y correos electrónicos utilizando Mimikatz.
Fecha actualización el 2021-11-02. Fecha publicación el 2018-11-02. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: softpedia