This post is also available in: Português Español
El caballo de Troya TrickBot evolucionó una vez más, engañando a una eficiente herramienta de Windows y manteniendo su lugar en la lista de invasores más avanzados del planeta.
Los recientes acontecimientos envolviendo el Coronavirus encendieron el botón de alerta en todo el mundo sobre el peligro de las mutaciones del virus. Especies semejantes se combinan, evolucionan y acaban originando nuevas variedades mucho más agresivas – una lógica que nos recuerda lo que también sucede con los virus de computadora.
Ese es el caso de TrickBot, una de las amenazas del tipo Caballo de Troya más conocidas e intrigantes de la actualidad. Hace algunos días fue descubierta la evolución del TrickBot, que es capaz de instalarse en sistemas con Windows 10, sin ser percibido. Lo que es posible porque recibió un recurso que puede ignorar la actividad de Control de Cuenta de Usuario (UAC, por sus siglas en inglés). Esta es aquella ventana que aparece en la pantalla cada vez que alguien intenta instalar algún software, o cuando un programa malicioso intenta instalarse solito silenciosamente.
La novedad fue presentada al público por el equipo de investigadores de Morphisec Labs, que dice haber percibido el problema desde el año pasado. Ese malware en especial, es peligroso porque está constantemente transformándose, con nuevas funciones para que sea aún más difícil su detección. “Casi todos los días el recibe actualizaciones, lo que lo hace muy avanzado”, destaca el analista de seguridad de Morphisec, Arnold Osipov.
Engendrado para el crimen
Desarrollado en el 2016, el TrickBot era, al comienzo, un malware bancario que sustituyó al Dyre, que también causó muchos dolores de cabeza mundialmente al hurtar información de las cuestas corrientes de millones de personas. Desde entonces, el sucesor se especializa en ser una herramienta multifuncional de ataques virtuales basadas en módulos, dirigida específicamente a empresas. Una cosa que lo distingue es su alto poder de encontrar rápidamente nuevas maneras de invadir, una rara versatilidad en el mundo de los ataques cibernéticos.
Todo ese poder puede ser fruto de los esfuerzos de cibercriminales de gran renombre. Hay evidencias de que la organización por detrás del TrickBot estableció una alianza con el grupo norcoreano APT Lazarus, a través de una estructura de ataque concebida por TrickBot, bautizada como Anchor Project. Lo que torna más necesario las acciones de combate, lidiando con gigantes del crimen cibernético.
Cómo actuó TrickBot
Según el informe de Morphisec, primero tiene una verificación sobre la cual Windows está siendo ejecutado. En el caso del Windows 10, para el malware es una condición esencial usar el recurso WSReset para desviar la UAC. Así el TrickBot, se aprovecha del proceso WSReset.exe, un archivo ejecutable de Microsoft que es usado para redefinir las configuraciones de Windows Store.
La clave para el éxito de la nueva función es que la propiedad ‘autoElevate’ en el proceso esté definida como “true”. Eso es lo que permite al desvío de la UAC ser usado para obtener privilegios.
Si ese fuera el caso, el TrickBot, desencripta sus secuencias de caracteres para usar el desvío de la UAC por el WSReset, como el camino del registro y el comando a ser ejecutado. Entonces, el caballo de Troya usa el “reg.exe” para adicionar las claves relevantes que permiten el uso del desvío.
La etapa final del nuevo recurso es ejecutar el WSReset.exe, haciendo que el TrickBot sea ejecutado con elevados privilegios sin un propmt del UAC. El TrickBot hace eso usando la API ShellExecuteExW, un archivo ejecutable final que le permite al virus colocar su veneno en todo el sistema.
This post is also available in: Português Español