La operación, coordinada entre, ESET, compañía líder en detección proactiva de amenazas, Microsoft, el centro de investigación Black Lotus Labs de Lumen y NTT, entre otros, consiguió desactivar los servidores de mando y control de Trickbot.
La compañía participó en el análisis técnico, proporcionando información estadística y nombres de dominio e IP conocidos de los servidores de mando y control. Trickbot es una botnet conocida por robar credenciales en computadoras comprometidas, pero en los últimos tiempos también llevó adelante ataques más dañinos, como los protagonizados por ransomware.
Solo en 2020, la plataforma de seguimiento analizó más de 125.000 muestras maliciosas y descargó y descifró más de 40.000 archivos de configuración utilizados por los diferentes módulos de Trickbot. Esto permitió a la compañía tener una visión excelente de los servidores de mando y control usados por esta botnet.
A lo largo de todo este tiempo, se ha observado cómo Trickbot comprometía dispositivos de una manera estable, convirtiéndola en una de las botnets más longevas, explica Jean-Ian Boutin, responsable de investigación de amenazas en ESET. Trickbot es una de las familias de malware bancario más importantes y representa una amenaza para los usuarios de Internet en todo el mundo.
En el pasado, Trickbot era utilizado principalmente como un troyano bancario que robaba cuentas bancarias y que pretendía realizar transferencias fraudulentas. Como mencionó ESET en su Informe de amenazas correspondiente al primer trimestre de 2020, Trickbot es una de las familias de malware bancario más prevalentes.
Uno de los complementos más antiguos desarrollados para la plataforma permitía a Trickbot utilizar ataques de inyección web, una técnica que permite al malware realizar cambios de forma dinámica en algunas páginas específicas que la víctima visite.
A lo largo del seguimiento se analizó 28 plugins diferentes, algunos destinados a recopilar contraseñas de navegadores, clientes de correo electrónico y una variedad de aplicaciones, mientras que otros podían modificar el tráfico de red o autopropagarse.
Intentar eliminar esta amenaza es un verdadero desafío, ya que cuenta con muchos mecanismos de recuperación, y su conexión con otros actores del mundo criminal muy activos convierte la operación en algo extremadamente complejo, concluye el investigador.
Cortesía de Eset Latinoamérica