¡Advertencia! El troyano TrickBot mejora las técnicas para evitar la detección
El troyano TrickBot nunca parece pasar de moda. Lo que comenzó como un troyano bancario sofisticado pero relativamente unidimensional evolucionó hasta convertirse en una navaja suiza multipropósito de un conjunto de herramientas de malware. Una nueva investigación sobre TrickBot muestra que el malware ha estado en alza, tanto en lo que respecta a su actividad como a su protección cada vez mayor contra la detección.
Los investigadores de seguridad de Trusteer de IBM seleccionaron muestras interceptadas recientemente de TrickBot y publicaron un informe sobre las formas cada vez más complejas en que el malware oculta su actividad y maneja sus inyecciones de código. El documento describe cuatro métodos diferentes que utiliza TrickBot para evitar la detección.
Tabla de contenido
Eliminación de inyecciones locales
Si bien los investigadores puedenanalizar las inyecciones de código utilizadas por TrickBot que se almacenan localmente en el dispositivo comprometido, las cosas se vuelven mucho más difíciles cuando el malware requiere código e inyecta directamente desde sus servidores. TrickBot usa un cargador JS para obtener la inyección adecuada de sus servidores de comando y control.
Interacción segura con Command Server
Al enviar solicitudes a su servidor C2, TrickBot usa HTTPS e implementa el indicador "url insegura" en la política de referencia. Es probable que esta bandera se use para informar al servidor C2 sobre la página específica que el usuario ha abierto en su navegador para que se pueda devolver la inyección de código correspondiente.
Además, TrickBot puede secuestrar las funciones de verificación de certificados del dispositivo de la víctima, suprimiendo todos los errores que puedan surgir de la comunicación maliciosa que está desencadenando el bot.
Capacidades anti-depuración
TrickBot también ha implementado un nuevo script anti-depuración. El anti-depurador busca el código que pertenece a TrickBot que ha sido alterado y "embellecido" para hacerlo más legible para los humanos, dijeron los investigadores de IBM. El malware usa comandos RegEx para verificar el código que se limpió y convirtió de Base64, con espacios y nuevas líneas agregadas para hacerlo más atractivo.
Si el antidepurador descubre que los investigadores han retocado el código y lo han "embellecido", inicia el malware en un bucle que bloquea el navegador muy pronto, ya que la memoria se sobrecarga.
Código de ofuscación
De forma predeterminada, el código que TrickBot utiliza para la inyección siempre se codifica en Base64. Además de esto, el malware utiliza pasos adicionales para cifrar y ofuscar su código.
El código muerto también se inyecta entre expresiones legítimas, similar a lo que hace otro malware, para que sea más difícil determinar el verdadero propósito de los módulos del malware.
El código se acorta y se "afea" para que sea ininteligible a simple vista, pero aún conserva sus capacidades maliciosas. Las cadenas en las funciones se mueven a matrices y luego se cifran, lo que dificulta aún más el trabajo de los investigadores. Los valores asignados a las variables se representan deliberadamente no como números enteros sino como hexadecimales, a menudo en expresiones absurdas. Un ejemplo proporcionado por los investigadores es un valor de cero que se inicializa en el código usando la cadena (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) .
TrickBot ha sido una potencia en el mundo de las herramientas maliciosas durante años y no muestra signos reales de desaceleración o desaparición. Ha habido intentos de derribar su infraestructura maliciosa, pero el éxito ha sido muy limitado y parece que el malware sigue siendo fuerte, años después de su lanzamiento inicial.