ESET, Microsoft, Lumen y NTT desbaratan botnet de un mill贸n de computadoras

Aparte de sustraer credenciales en computadoras comprometidas, Trickbot estaba dedicada 煤ltimamente a campa帽as de ransomware.

La operaci贸n, coordinada entre, ESET, Microsoft, el centro de investigaci贸n Black Lotus Labs de Lumen y NTT, entre otros, consigui贸 desactivar los servidores de mando y control de Trickbot. ESET particip贸 en el an谩lisis t茅cnico, proporcionando informaci贸n estad铆stica y nombres de dominio e IP conocidos de los servidores de mando y control. Trickbot es una botnet conocida por robar credenciales en computadoras comprometidas, pero en los 煤ltimos tiempos tambi茅n llev贸 adelante ataques m谩s da帽inos, como los protagonizados por ransomware.

En un comunicado, ESET informa que solo en 2020, su plataforma de seguimiento analiz贸 m谩s de 125.000 muestras maliciosas y descarg贸 y descifr贸 m谩s de 40.000 archivos de configuraci贸n utilizados por los diferentes m贸dulos de Trickbot. Esto permiti贸 a la compa帽铆a tener una visi贸n excelente de los servidores de mando y control usados por esta botnet. La empresa de seguridad ha estado siguiendo las actividades de Trickbot desde su detecci贸n a finales de 2016.

鈥淎 lo largo de todo este tiempo, se ha observado c贸mo Trickbot compromet铆a dispositivos de una manera estable, convirti茅ndola en una de las botnets m谩s longevas鈥, explica Jean-Ian Boutin, responsable de investigaci贸n de amenazas en ESET. 鈥淭rickbot es una de las familias de malware bancario m谩s importantes y representa una amenaza para los usuarios de Internet en todo el mundo鈥.

En sus a帽os de funcionamiento, Trickbot se ha distribuido de diferentes maneras. Por ejemplo, recientemente se observ贸 c贸mo se descargaba Trickbot en sistemas comprometidos por Emotet, otra botnet muy importante. En el pasado, Trickbot era utilizado principalmente como un troyano bancario que robaba cuentas bancarias y que pretend铆a realizar transferencias fraudulentas. Como mencion贸 ESET en su Informe de amenazas correspondiente al primer trimestre de 2020, Trickbot es una de las familias de malware bancario m谩s prevalentes.

Uno de los complementos m谩s antiguos desarrollados para la plataforma permit铆a a Trickbot utilizar ataques de inyecci贸n web, una t茅cnica que permite al malware realizar cambios de forma din谩mica en algunas p谩ginas espec铆ficas que la v铆ctima visite. 鈥淕racias a nuestro an谩lisis, hemos recopilado decenas de miles de archivos diferentes de configuraci贸n, con lo que conocemos bien qu茅 p谩ginas web ten铆a Trickbot como objetivo, principalmente webs de entidades financieras鈥, a帽ade Boutin.

Lo que hace que Trickbot sea tan vers谩til es que sus funcionalidades se pueden ampliar enormemente con plugins. A lo largo del seguimiento, ESET recopil贸 y analiz贸 28 plugins diferentes. Algunos destinados a recopilar contrase帽as de navegadores, clientes de correo electr贸nico y una variedad de aplicaciones, mientras que otros pod铆an modificar el tr谩fico de red o autopropagarse.

鈥淚ntentar eliminar esta amenaza es un verdadero desaf铆o, ya que cuenta con muchos mecanismos de recuperaci贸n, y su conexi贸n con otros actores del mundo criminal muy activos convierte la operaci贸n en algo extremadamente complejo鈥, concluye el investigador de ESET.

Fotograf铆a: Rockn Roll Monkey via Unsplash


Destacamos

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.