Cuando el pasado mes de octubre una operación global consiguió desactivar los servidores de mando y control de Trickbot, una de las botnets más peligrosas del mundo, los investigadores advirtieron que sus operadores iban a intentar reactivar sus operaciones, y no se equivocaban. Su actividad ha aumentado considerablemente desde la interrupción total de la botnet Emotet en enero, que actuaba como distribuidor tanto para Trickbot como para otros actores de amenazas de alto perfil.
Trickbot lleva existiendo desde 2016, cuando apareció como malware bancario especializado en el robo de credenciales. Desde entonces, ha conseguido infectar millones de ordenadores de todo el mundo, y en la actualidad está desempeñando un papel muy activo en la difusión de ransomware. A pesar del intento de derribo, Trickbot relevó a Emotet en el top malware de febrero de 2021 elaborado por Check Point y una nueva investigación de Bitdefender pone de manifiesto que está más activo que nunca y que, además, ha mejorado sus capacidades.
Ha actualizado su módulo VNC con nuevas funciones para el espionaje y la recopilación de datos
En su investigación, Bitdefender señala que sus sistemas detectaron una nueva versión del módulo VNC de Trickbot el pasado mes de mayo. Según indica, este módulo, conocido como tvncDII, incluye nuevas funcionalidades para el espionaje y la recopilación de información sobre las víctimas y TrickBot lo utiliza para dirigirse a objetivos de alto perfil. Aunque este módulo se descubrió hace dos meses, la compañía de ciberseguridad afirma que todavía está en desarrollo, "ya que el grupo tiene un programa de actualización frecuente, agregando regularmente nuevas funciones y correcciones de errores".
El análisis de Bitdefender se centra en este módulo actualizado y explica que utiliza un protocolo de comunicación personalizado que oculta las transmisiones de datos entre los servidores de los hackers y de las víctimas, haciendo que sea más difícil de detectar. El módulo se comunica con los servidores de comando y control (C2) a través de una de las nueve direcciones IP del proxy, que permiten el acceso a las víctimas por detrás de los firewalls.
Además, los investigadores han descubierto que los operadores de Trickbot también utilizan una aplicación de software para conectarse a los ordenadores de las víctimas por medio de los servidores C2, lo que proporciona una visión muy completa sobre la forma en la que se materializan estos ataques.
Las opciones que ofrece el módulo VNC de Trickbot a sus atacantes
Siguiendo siempre la información de la firma de ciberseguridad, el atacante, utilizando un ID bot único para la víctima, puede pedir al módulo que cree un nuevo escritorio con una interfaz personalizada.
"Durante el funcionamiento normal, el escritorio alternativo es creado y controlado completamente por el módulo, copiando los iconos del escritorio, creando una barra de tareas personalizada para administrar sus procesos y creando un menú personalizado con el botón derecho, que contiene funciones personalizadas", escriben los investigadores en su informe.
Usando el símbolo del sistema, el actor de amenazas puede descargar nuevas cargas útiles del servidor C2, abrir documentos o la bandeja de entrada del correo electrónico, y robar datos del sistema comprometido. Por otra parte, el modulo también crea un navegador nativo que agrega una funcionalidad de descarga de contraseñas y que está en desarrollo activo, con múltiples actualizaciones semanales.
"De forma predeterminada, crea su propio navegador utilizando la función de automatización OLE para Internet Explorer", declaran los investigadores. "Se supone que los botones a la izquierda de la barra de navegación se usan para el volcado de contraseñas y deberían funcionar para Chrome, Firefox, Opera e Internet Explorer, pero esta funcionalidad funciona correctamente solo para Internet Explorer", agregan apuntando que en Firefox parecía estar en proceso pero que aún no funciona completamente, al menos por el momento.
Los datos de telemetría de Bitdefender muestran que los servidores C2 de Trickbot se distribuyen en casi todos los continentes, con el mayor número (54) registrado en América del Norte. Según la compañía, el número de servidores C2 ha aumentado significativamente durante este año, pasando de alrededor de 40 en enero a más de 140 en junio.