En sus inicios, Trickbot puso en el punto de mira a entidades financieras de todo el mundo, usando ataques de phishing para infectar a sus víctimas. El troyano evolucionó para propagarse localmente a través de las redes mediante SMB y aunque carecía de características más avanzadas vistas en WannaCry y NotPetya, era sumamente peligroso.
Después, las nuevas versiones podían propagarse lateralmente a través de una red, robar credenciales guardadas en los navegadores, robar bases de datos de Servicios de Active Directory, robar cookies y claves OpenSSH , robar credenciales RDP, VNC y PuTTY y más. Una muestra de malware en constante evolución, que va sumando nuevas y peligrosas funciones cada poco tiempo como han constatado los especialistas de Bitdefender.
Las nuevas capacidades descubiertas en Trickbot tienen el objetivo de monitorizar y recopilar inteligencia de las organizaciones atacadas, algo que se lleva a cabo a través de un protocolo de comunicación customizado que oculta las transmisiones de datos entre los servidores C2 y las víctimas, lo que dificulta la detección de los ataques.
Bitdefender ha identificado también la aplicación de software que utilizan los operadores de Trickbot para conectarse con los ordenadores de las víctimas, lo que proporciona una visión muy completa sobre la forma en la que se materializan estos ataques. En mayo de 2021, sus sistemas comenzaron a recoger una versión actualizada del vncDll módulo que utiliza Trickbot contra objetivos de alto perfil. Este módulo, conocido como tvncDll, se usa para monitorear y recopilar inteligencia.
Parece estar todavía en desarrollo, ya que el grupo tiene un programa de actualización frecuente, agregando regularmente nuevas funcionalidades y correcciones de errores a un ecosistema cada vez más completo de módulos de complementos y componentes auxiliares. Bitdefender también ha notado un aumento significativo en los centros de comando y control implementados en todo el mundo.
Y es que, a pesar de los continuos esfuerzos por controlarlo, esta nueva investigación pone de manifiesto que el troyano está más vivo que nunca. Puedes encontrar un análisis completo del nuevo componente en el artículo de investigación disponible. Los usuarios de Bitdefender Advanced Threat Intelligence disponen de una lista actualizada y completa de indicadores de compromiso.
