El troyano bancario ha recibido Trickbot En agosto 2018 actualización que añade un nuevo módulo de inyección de código. El famoso software malicioso se ha mantenido activa en los últimos años como uno de los troyanos más prominentes utilizado por delitos financieros. El componente añadido recientemente revela que su desarrollo no se ha estancado y que podemos anticipar más actualizaciones, así.
el número de agosto 2018 Trickbot troyano bancario métodos de distribución siguen siendo los mismos
El troyano bancario en Trickbot es agosto 2018 liberación se distribuye usando cargas útiles infectados. El principal método utilizado por la mayoría de los atacantes parecen ser mensajes de correo electrónico de phishing que, o bien se incluyen los archivos de malware como archivos adjuntos o unidos en el contenido del cuerpo. Los correos electrónicos están diseñados para aparecer como ser enviado por una compañía de Internet conocido o servicio. Las cargas útiles son por lo general los documentos (documentos de texto enriquecido, hojas de cálculo, presentaciones o bases de datos) que hacen uso de las macros maliciosas. Una vez que se abren aparecerá una solicitud de notificación pidiendo a los usuarios para activar los scripts. Cuando se hace esto la infección seguirá.
Otras técnicas que se pueden utilizar para difundir este tipo de amenazas son los siguientes:
- Intercambio de ficheros de Redes - Un gran porcentaje de las infecciones por virus (incluyendo troyano bancario Trickbot) puede ser causada por la descarga de archivos desde redes de intercambio de archivos como BitTorrent. Ellos son bien conocidos para la difusión de contenidos ilegales y piratas.
- Sitios de descarga de falsos - Los criminales pueden crear sitios maliciosos que utilizan los elementos de diseño de portales de Internet conocidos o de los sitios de descarga de proveedor.
- Los secuestradores de navegador - Los usuarios malintencionados pueden incrustar el código del virus en auxiliares creadas por los navegadores web más populares. Por lo general, se cargan en los repositorios correspondientes mediante el uso de opiniones de los usuarios falsos y una descripción detallada. Tales técnicas de coaccionar a los usuarios para que instalen los complementos con la promesa de que acaba de agregar funcionalidad u otros elementos adicionales que no están disponibles. El nombre “secuestrador del navegador” proviene de la premisa de que en la instalación se ejecuta un patrón incorporado - la configuración por defecto será cambiado para redirigir las víctimas a una página pirata informático controlado. Después de esto se activará la infección por el virus.
Después se ejecutan las macros maliciosos un script de PowerShell se descargará y correr. Esta acción dará lugar a la entrega de una versión ofuscado del troyano bancario Trickbot.
Agosto 2018 Trickbot troyanos bancarios Cambios: Qué hay de nuevo
Después de que el troyano bancario Trickbot se adquiere en el huésped infectado el recién implementado la inyección de código sigilo se ejecutará. Se va a dormir la infección durante un tiempo determinado (30 segundos). Esta es una técnica que puede evadir las exploraciones de firma utilizados por el software de seguridad, tales como soluciones anti-virus, entornos de caja de arena y hosts de máquina virtual. Sus motores en tiempo real pueden ser anuladas o totalmente eliminadas por el código malicioso.
El descifrado real del troyano bancario Trickbot ofuscado se ejecute después de que el código de protección de sigilo tiene completa. La versión más reciente de los usos de malware llamadas al sistema directos que es similar a Flokibot, una variante de Zeus. Esto demuestra que los piratas informáticos detrás de la nueva versión de Troya bancario Trickbot podrían haber utilizado varias fuentes de código diferentes.
La amenaza conserva la capacidad de conectarse a los servicios del sistema y las aplicaciones instaladas por el usuario. Este tipo de malware se centra en varias áreas clave:
- El robo de datos - troyanos suelen incluir un componente que rastrea las cadenas introducidas por los usuarios. Siempre que se reveló un valor de interés que puede transmitirse automáticamente a los piratas informáticos. La mayoría de ellos tienen como objetivo diana datos de usuario privado que pueden exponer su identidad y pueden ser utilizadas indebidamente - su nombre, dirección, intereses, ubicación y contraseñas.
- Mecánica de phishing - El uso de instrucciones incorporadas en el troyano bancario puede presentar las páginas de inicio falsas a los servicios populares a medida que se introducen en los navegadores web.
- control de Hacker - Mediante la conexión a un servidor pirata informático controlado por los operadores maliciosos serán capaces de espiar a los usuarios en tiempo real,, superar el control de los anfitriones y desplegar otras amenazas.
El hecho de que el trabajo sobre el troyano bancario Trickbot continúa mucho después de su lanzamiento inicial muestra que muchos grupos criminales siguen dependiendo de varios principales familias de malware en la coordinación de campañas de infección a gran escala.
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: