CSIRT Asobancaria

Actualización en módulo de propagación de TrickBot

  • Publicado: 07/06/2020
  • Importancia: Media

Recursos afectados

TrickBot: es un troyano bancario, visto por primera vez en 2016, escrito en lenguaje de programación C++, tiene como objetivo exfiltrar información confidencial de equipos comprometidos, es un troyano modular; contiene varios archivos con instrucciones para realizar diferentes funciones.

Dentro de los módulos que contiene, se encuentran los siguientes:

Módulo mshare y tab:

  • Un equipo infectado descarga un nuevo TrickBot .EXE usando una URL.
  • El equipo infectado envía este nuevo TrickBot .EXE a través del tráfico SMB a los controladores de dominio vulnerables.

 Módulo mworm:

  • El equipo infectado de Windows usa un exploit SMB dirigido al controlador de dominio vulnerable.
  • El controlador de dominio vulnerable descarga un nuevo TrickBot .EXE usando una URL, para luego ejecutarlo.

Este es un breve resumen por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected]

Etiquetas