Las inyecciones de Trickbot se vuelven más difíciles de detectar y analizar



Los autores del troyano Trickbot han agregado múltiples capas de defensas alrededor del malware para dificultar que los defensores detecten y analicen las inyecciones que utiliza durante las operaciones maliciosas.

Las mejoras coinciden con el aumento de la actividad en torno al malware y parecen diseñadas para ataques en los que Trickbot se utiliza para realizar fraudes bancarios en línea, algo para lo que la herramienta se diseñó originalmente antes de que se reutilizara para fines de distribución de malware.

Investigadores de IBM Trusteer analizaron las inyecciones de código más recientes que utiliza Trustbot en el proceso de robo de información para realizar fraudes bancarios. Descubrieron nuevos ajustes del tipo que los operadores del malware han estado haciendo desde que se lanzó por primera vez en 2016.

Las actualizaciones incluyen un nuevo mecanismo de inyección del lado del servidor comunicaciones encriptadas con el servidor de comando y regulate (C2) para obtener inyecciones una característica anti-depuración y nuevas formas de ofuscar y ocultar el código de inyección. Limor Kessem, asesor ejecutivo de seguridad de IBM, explain los cambios como parte de un esfuerzo continuo que los desarrolladores de Trickbot han estado realizando para mantener el malware un paso por delante de los investigadores de seguridad y las herramientas de detección.

«El malware que está diseñado para atravesar los controles de seguridad, como Trickbot, debe actualizarse constantemente», dice Kessem. «Las cosas cambian [at] el nivel de código, los recursos están codificados/encriptados y ofuscados. Estos esfuerzos están ahí para prevenir la detección y dificultar el análisis tanto como sea posible».

Trickbot surgió poco después de que las autoridades policiales rusas arrestaran a los operadores de Dyre, un troyano bancario que se utilizó en ataques que terminaron costando millones de dólares en pérdidas a bancos como Chase y Bank of The united states. La herramienta altamente modular comenzó como un troyano bancario como Dyre y está diseñado para robar información que permitiría a los atacantes acceder y robar dinero de la cuenta bancaria de la víctima. Con los años, Trickbot se transformó también en un vehículo para distribuir otro malware, incluido el ransomware y otros troyanos bancarios, como Emotet.

Los operadores de Trickbot hasta ahora han sido en gran medida impermeables a los intentos de derribo. Esto incluye un intento en octubre de 2020 en el que los investigadores de Microsoft, ESET y otros proveedores de seguridad trabajaron con el Centro de análisis e intercambio de información de servicios financieros para interrumpir la infraestructura C2 de Trickbot. En ese momento, el malware había infectado más de un millón de sistemas en 12 países. Aunque el esfuerzo de eliminación resultó en la desconexión de unos 19 servidores Trickbot C2 diferentes en diferentes ubicaciones, solo tuvo un impacto moderado en el mejor de los casos en la operación de malware. Los detalles de una acusación el año pasado contra un desarrollador letón del malware describieron que el grupo central de Trickbot estaba compuesto por unas 20 personas, incluidos desarrolladores de software program, expertos en malware, mulas de dinero y programadores.

Protecciones adicionales
Análisis de IBM de la última versión de TrickBot muestra que los operadores han agregado protecciones adicionales a las inyecciones de código que se utilizan en tiempo genuine cuando un usuario con una máquina infectada podría intentar acceder a su cuenta bancaria en línea. Las inyecciones están diseñadas para modificar la información que sale del navegador del usuario sobre la marcha antes de que llegue al servidor del banco.

Una de las formas en que los ciberdelincuentes engañan a las víctimas para que divulguen información confidencial es mediante el uso de flujos de inyección website personalizados que imitan lo que normalmente esperarían cuando interactúan en línea con su banco, dice Kessem. «Pueden llegar hasta crear un sitio bancario falso en sus servidores y, en su lugar, llevar a las víctimas allí», dice. “En otros casos, crean un esquema más robusto que involucra a humanos en el otro extremo”, como fue el caso de los atacantes de Dyre.

El análisis de IBM muestra que, en lugar de obtener el código de inyección de los archivos de configuración almacenados localmente en un sistema comprometido, los operadores de Trickbot ahora han comenzado a inyectar el código en tiempo real desde su propio servidor. Este tipo de inyección del lado del servidor es más fácil de manipular para los atacantes en tiempo serious que las inyecciones almacenadas localmente. También hacen que sea mucho más difícil para los defensores comprender qué actividad maliciosa podría lanzarse contra un objetivo en certain, dijo IBM.

También se modificó un descargador de JavaScript que utiliza Trickbot, por lo que ahora utiliza el protocolo HTTPS para obtener inyecciones world-wide-web de forma segura desde un servidor de inyección controlado por un atacante. Las inyecciones están diseñadas para direcciones URL bancarias específicas y están diseñadas para engañar a los usuarios para que divulguen información que los atacantes pueden usar para robar dinero de una cuenta bancaria en línea.

Como medida adicional, los autores de Trickbot han agregado una función anti-depuración al código JavaScript del malware. La función de depuración está diseñada para detectar el llamado «embellecimiento de código» que hacen los investigadores de seguridad cuando analizan código sospechoso. Cuando el nuevo mecanismo anti-depuración de Trickbot detecta cualquier intento de embellecer dicho código, desencadena inmediatamente un proceso que resulta en una sobrecarga de la memoria y el bloqueo del navegador, dijo IBM.

El código que Trickbot se inyecta a sí mismo también está muy ofuscado. Está codificado con Foundation64 y utiliza una variedad de trucos, como hacer que el código sea ilegible para el ojo humano u ocultar información sobre la ejecución del código y representar números y variables de una manera deliberadamente compleja. «Conocer las técnicas ayuda a los defensores a saber qué esperar», dice Kessem, «y a desempacar las partes desafiantes para que puedan analizar el malware y ajustar los controles».



Enlace a la noticia primary