Trickbot es un malware informático , un troyano para Microsoft Windows y otros sistemas operativos, [1] y el grupo de ciberdelincuencia detrás de esto. [2] Su función principal era originalmente el robo de datos bancarios y otras credenciales, pero sus operadores han ampliado sus capacidades para crear un ecosistema de malware modular completo. [3]
Trickbot se informó por primera vez en octubre de 2016. Se propaga mediante métodos que incluyen programas ejecutables, archivos por lotes, phishing por correo electrónico, Google Docs y denuncias falsas de acoso sexual. [4]
El sitio web Bleeping Computer ha seguido la evolución de TrickBot desde sus inicios como troyano bancario. Los artículos cubren su extensión para atacar PayPal y la gestión de relaciones comerciales con clientes (CRM; junio de 2017), la adición de un componente de gusano autopropagante (julio de 2017), coinbase.com, compatibilidad con DKIM para eludir los filtros de correo electrónico , robar el historial de problemas de Windows, robar cookies (julio de 2019), apunta a software de seguridad como Microsoft Defender para evitar su detección y eliminación (julio de 2019), robar códigos PIN de Verizon Wireless, T-Mobile y Sprint inyectando código al acceder a un sitio web (agosto de 2019), robar OpenSSH yClaves OpenVPN (noviembre de 2019), propagar malware a través de una red (enero de 2020), omitir Windows 10 UAC y robar credenciales de Active Directory (enero de 2020), usar correos electrónicos y noticias falsos de COVID-19 (desde marzo de 2020), omitir Android móvil dos- factor authentication , comprueba si se está ejecutando en una máquina virtual (por expertos en antimalware; julio de 2020), infectando sistemas Linux (julio de 2020). [5]
TrickBot puede proporcionar otro malware con acceso como servicio a los sistemas infectados, incluidos Ryuk (enero de 2019) y Conti ransomware ; Se sabe que el troyano de spam Emotet instala TrickBot (julio de 2020). [5]
En 2021, un investigador de IBM informó que trickbot se mejoró con funciones como el algoritmo de nomenclatura mutex creativo y un mecanismo de persistencia actualizado. [6]
El 27 de septiembre de 2020, los hospitales y sistemas de atención médica de EE. UU. fueron cerrados por un ataque cibernético que utilizó el ransomware Ryuk. Se cree probable que el troyano Emotet inició la infección de botnet al enviar archivos adjuntos de correo electrónico maliciosos durante 2020. Después de un tiempo, instalaría TrickBot, que luego proporcionaría acceso a Ryuk. [7]