El troyano Trickbot amenaza la seguridad del sector bancario

El Laboratorio de Malware de S2 Grupo ha presentado un informe que se centra en analizar la evolución de Trickbot, un tipo de virus troyano que se desarrolla a una gran velocidad y que, en menos de seis meses, ha llegado a su versión 17. De hecho, se ha convertido en la principal amenaza de ciberseguridad para el sector de la banca, ya que roba credenciales y datos bancarios a los usuarios afectados. Este malware se inyecta en el navegador para que una vez el cliente accede a uno de los bancos monitorizados, poder comprometer la seguridad del usuario.

Más sobre Ciberseguridad... Ataques con exploits: de las amenazas diarias a las campañas dirigidas Informe Symantec sobre la seguridad de Internet (ISTR 2017) Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico Informe global sobre Seguridad de la Información 2016-2017 de EY La paradoja tras la experiencia del usuario con el cripto-ransomware

“Si bien es cierto que su principal objetivo y comportamiento se centra en usuarios de banca online, al ser un troyano modular, posee capacidades que los atacantes podrían utilizar con otros fines, como la exfiltración de documentos. Esto hace que, en poco tiempo, Trickbot pueda convertirse en una de las mayores ciberamenazas de los usuarios de la red”, afirma José Rosell, socio-director de S2 Grupo.

En concreto, algunas de las principales características de Trickbot son que carga el código en el sistema, crea una réplica de sí mismo en un directorio llamado “%APPDATA%”, aplica técnicas de persistencia, recopila información sensible del usuario, inyecta código en otras aplicaciones para controlar la información que manejan y exfiltra la información que obtiene a su servidor de mando y control.

El estudio señala que la principal vía de infección de este tipo de malware se produce al abrir un documento de Word que llega por email o a través de alguna vulnerabilidad aprovechada por un malware Exploit Kit al navegar por la red. Y del informe se extrae que una de las principales evoluciones de Trickbot es que, si bien en las primeras versiones el loader (programa de cargado del virus) iba marcado con nombres descriptivos, en las últimas ya no lo son, lo que dificulta su identificación por parte de los sistemas de ciberseguridad.

Por último, esta investigación señala una evolución en la acción de persistencia de este malware en los sistemas, pues en un inicio creaba una tarea programada que era lanzada cada minuto para asegurarse que el programa seguía en ejecución, mientras que en las últimas versiones se ejecuta simplemente al iniciar la sesión el usuario.