Los hackers de TrickBot crean una nueva puerta trasera sigilosa para objetivos de alto valor


Los investigadores sospechan que Lázaro está desarrollando su propio troyano Dacls
El troyano puede infectar máquinas con Windows y Linux.

El infame grupo de ciberataques TrickBot ha desarrollado una nueva puerta trasera para monitorear valiosos sistemas de víctimas después de la explotación.

Apodado PowerTrick, el objetivo remaining de la herramienta posterior a la explotación es «eludir las restricciones y los controles de seguridad para adaptarse a la nueva era de los controles de seguridad y explotar las redes de alto valor más protegidas y seguras», los investigadores de SentinelLabs Vitali Kremez, Joshua Platt y Jason Reaves dijo el jueves.

Los ciberdelincuentes de TrickBot se especializan en el robo de credenciales bancarias en todo el mundo, a menudo de empresas. Los troyanos vinculados al grupo están en constantes estados de evolución, con nuevos módulos y herramientas en desarrollo para mantenerse un paso por delante de los equipos de TI y llevar a cabo tanto la exfiltración de datos como la persistencia.

Ver también: TrickBot, el troyano más importante de hoy, agrega funciones para ayudar a los ataques de intercambio de SIM

En la segunda mitad del año pasado, los investigadores advirtieron que, junto con las poderosas técnicas de inyección de troyanos, puertas traseras y web, los desarrolladores han ampliado su arsenal con herramientas diseñadas para ataques de intercambio de SIM. El malware TrickBot también se ha relacionado con el robo basado en criptomonedas.

La nueva herramienta probablemente se lance a través de Windows PowerShell, dicen los investigadores. Se modificó un módulo TrickBot reutilizado llamado «NewBCtest» para aceptar comandos para la ejecución, incluido el establecimiento de una puerta trasera más grande más abajo en la cadena de ataque.

SentinelLabs dice que el método empleado es similar al PowerShell Empire de código abierto, pero para mantenerse oculto, TrickBot ha elegido diseñar PowerTrick para que sea «versatile» y permita el aumento «sobre la marcha».

CNET: Enjambres de drones en 3 estados provocan investigación de misterio de la FAA y el FBI

Los escaneos se realizan para perfilar el sistema infectado y la información se devuelve junto con una identificación de usuario única, enviada a través de la puerta trasera a un servidor de comando y management (C2) controlado por los atacantes.

PowerTrick también utilizará el marco de explotación Metasploit y varias utilidades de PowerShell para pivotar a unidades y sistemas en crimson, desplegar malware adicional y realizar tareas de limpieza y detonación.

TechRepublic: CES 2020: cómo el depurador Just in Time de McAfee detiene a los ciberdelincuentes

«Quitan los archivos existentes que no se ejecutaron correctamente y se mueven a un objetivo diferente de elección o realizan movimientos laterales dentro del entorno a sistemas de alto valor como puertas de enlace financieras», dice el equipo.

Es este movimiento lateral el que debería preocupar a las empresas. Como hemos visto con el reciente incidente de Travelex, el malware capaz de difundir y encriptar, o robar, datos en un entorno en red puede resultar desastroso.

TrickBot también se ha conectado recientemente a «Anchor», un conjunto de herramientas que parece proporcionar un enlace entre los operadores y los grupos de piratería de Corea del Norte.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic