• Lun. - Vier. : 09:00-18:00
  • Lun. - Vier. : 09:00-18:00

El malware TrickBot te avisa que estás infectado por error

Cada día miles de dispositivos son infectados por malware, virus y ransomware. Lo que no es común es que sea el propio malware el que te avise de que estás infectado. Y eso es lo que ha ocurrido con TrickBot, que por error de sus programadores te advierte que estás infectado.
Como podéis imaginar esto es un error grave del creador del malware, pero a su vez, también algo positivo para nosotros ya que podremos proceder a su eliminación utilizando las herramientas adecuadas. Los programadores del conocido malware TrickBot durante su programación cometieron un fallo muy grave. El error consiste en que olvidaron eliminar un módulo de prueba que advierte a las víctimas que están infectadas y que deben comunicarse con su administrador.
La forma de actuar de TrickBot es mediante una infección de malware que se distribuye habitualmente a través de correos electrónicos no deseados maliciosos. Una vez instalado, lo primero que hará es ejecutarse silenciosamente en la equipo de la víctima. Una vez hecho el siguiente paso será descargar varios módulos que realizan diferentes tareas en la computadora que ha sido infectada.
Estos módulos que se ha instalado van a permitir al malware realizar las siguientes acciones:
  • Robar la base de datos de Active Directory Services de un dominio.
  • Recolectar contraseñas y cookies del navegador.
  • Robar claves OpenSSH y posibilitar  se extienda lateralmente a través de una red.
Sin embargo, las cosas pueden ir a peor porque sabemos que puede hacer más cosas. TrickBot va a finalizar sus ataques permitiendo el acceso a ransomware como por ejemplo Ryuk y Conti.

Los programadores de TrickBot cometieron un error imperdonable

Vitali Kremez de Advanced Intel analizando un lanzamiento reciente del malware TrickBot ha descubierto que los desarrolladores de la amenaza están distribuyendo por error una versión de prueba de su módulo grabber.dll que roba contraseñas.
Una vez que se instala este módulo lo que hace es mostrar una advertencia en el navegador predeterminado de la victima. En ella se indica que el programa está recopilando información y que preguntes al administrador del sistema para más detalles. Aquí tenéis una recreación de lo que saldría en vuestras pantallas.
Este caso que hemos comentado antes no es un caso aislado. Un usuario de Reddit preguntó hace poco más de quince días en búsqueda de una solución a su problema porque su navegador Firefox le estaba advirtiendo sobre un programa llamado grabber.
Por si  no lo sabéis Grabber.dll es la contraseña de TrickBot y el módulo de robo de cookies. Con ella lo que intenta hacer es recolectar las credenciales y cookies guardadas de los navegadores Chrome, Edge, Internet Explorer y Firefox. Gracias a estas credenciales y cookies robadas los desarrolladores podrían usarlas para iniciar sesión en las cuentas de la víctima.

Investigaciones y recomendaciones de Kremez sobre TrickBot.

Kremez pudo extraer la siguiente documentación incrustada en el módulo y que podéis observar en la siguiente imagen.
Si queréis conocer un análisis técnico más detallado de este módulo grabber.dll, Kremez ha publicado en un blog del sitio web de Advanced Intel toda la información.
Según Kremez  ese  módulo de prueba parece haber sido desarrollado por los creadores de TrickBot. La razón por la que opina esto es porque está codificado de la misma manera que otros módulos. Además también cree que los programadores de la amenaza estaban probando una nueva versión y se olvidaron eliminarla cuando se lanzó.
Si ves esta advertencia de TrickBot lo primero que  Kremez recomienda a las víctimas es que desconectan inmediatamente su computadora de la red. Luego el siguiente paso que tienen que realizar es un escaneo con su software de seguridad instalado.
Una vez que se haya eliminado la amenaza de su computadora debemos hacer más cosas. Las víctimas deben cambiar sus contraseñas de cualquier sitio, externo o interno, cuyas credenciales se guarden en el navegador. Además también debemos hacer lo mismo con las contraseñas con las que iniciamos sesión en ese navegador.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *