TLP: White
NIVEL DE RIESGO – [Medio]
Acción requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red, correos spam.
Impacto: La infección exitosa de un equipo con esta muestra maliciosa puede ocasionar que un usuario malintencionado realice robo de información dentro de la organización.

Descripción

El troyano bancario conocido como “TrickBot” ha evolucionado una vez más, y ha integrado un nuevo módulo de propagación llamado “nworm”, el cual utiliza un modo sigiloso para infectar discretamente los controladores de dominio del sistema operativo Microsoft Windows sin ser detectado.

TrickBot fue identificado por primera vez en el año 2016 y es propagado generalmente por correos spam o por medio del aprovechamiento de servicios expuestos a Internet. Este programa malicioso comenzó como un troyano bancario, sin embargo, ha evolucionado con la integración constante de nuevos módulos que le permiten realizar una gran variedad de comportamientos maliciosos. Parte de su funcionamiento incluye la propagación lateral a través de la red, el robo de información a bases de datos de servicios de “Active Directory”, el robo de Cookies, claves OpenSSH, robo de credenciales RDP, VNC, y PuTTY.

Cuando se instala, TrickBot evaluará el entorno donde se está ejecutando y luego descargará varios módulos entre los cuales podemos encontrar, “mworm” y “mshare” para realizar actividades maliciosas específicas en el equipo de cómputo infectado y en la red. Si TrickBot detecta que se está ejecutando en un entorno de “Active Directory” de Microsoft Windows, utilizará los módulos descargados para propagarse a un controlador de dominio vulnerable mediante el aprovechamiento de vulnerabilidades de SMB.

Debido a que TrickBot utiliza varios archivos binarios para cargar sus módulos, cada binario tiene un identificador llamado “gtag”, el cual señala la campaña específica o el origen de infección del programa malicioso existente en los datos de configuración extraídos de binarios y en el tráfico HTTP durante la infección.

En abril de 2020, investigadores en seguridad observaron que el programa malicioso dejó de usar el módulo “mworm” y en su lugar, apareció “nworm”, el nuevo artefacto integrado, el cual no solo cifra el ejecutable empleado por el programa malicioso para evitar ser detectado por el software de seguridad, sino que también inicia la infección en el controlador de dominio de la memoria.

Para aumentar aún más el sigilo y evitar ser detectado, cuando TrickBot infecta el controlador de dominio, no establecerá persistencia en el dispositivo, debido a que los controladores de dominio rara vez se reinician, de esta manera permitirá que el programa malicioso permanezca ejecutándose en la memoria durante un periodo prolongado sin ser detectado.

A continuación, se muestra un esquema con el método de propagación de TrickBot mediante Nworm.

Nivel de riesgo

  • Medio

Sistemas/tecnologías afectadas

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • SHA-256
    • 900aa025bf770102428350e584e8110342a70159ef2f92a9bfd651c5d8e5f76b
    • 85d88129eab948d44bb9999774869449ab671b4d1df3c593731102592ce93a70
  • URLs relacionadas con esta campaña:
    • hxxp://107.172.221[.]106/ico/VidT6cErs
    • hxxp://107.172.221[.]106/images/cursor.png
    • hxxp://107.172.221[.]106/images/imgpaper.png
    • hxxp://23.95.227[.]159/ico/VidT6cErs
    • hxxp://23.95.227[.]159/images/cursor.png
    • hxxp://23.95.227[.]159/images/imgpaper.png

Medidas de contención

  • Deshabilitar la ejecución automática de macros en documentos Microsoft Office.
  • No abrir documentos Office cuyo origen sea desconocido y/o sospechoso, ya que es una de las principales vías de infección de TrickBot.
  • Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
  • Definir reglas basadas en listas blancas, lo que permite únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Identificar los equipos internos que hayan podido realizar algún tipo de comunicación con los indicadores notificados.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc).
  • Deshabilitar cualquier servicio que no sea necesario y que esté expuesto a Internet.

Referencias