-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nueva variante de TrickBot puede desactivar las defensas de Windows Defender
- Publicado: 31/07/2019
- Importancia: Media
- Recursos afectados
Desde los últimos días el CSIRT Financiero ha detectado una nueva variante del troyano bancario de Trickbot, el cual ha implementado nuevos controles respecto a la desactivación de Windows defender en los sistemas operativos Windows 10. Adicionalmente dentro de estos 12 nuevos métodos de desactivación de las defensas de Windows se habla de modificaciones directas en el registro y comandos de PowerShell que permitirían modificar las preferencias de Windows defender.
Su principal método de infección en estos momentos es a través de campañas de malspam, sin embargo, en sus inicios se basaba en ataques de tipo Webfakes y WebInjects. De ese modo su funcionamiento se basa en la ejecución de un documento con macros maliciosas, que posteriormente realizan la descarga de Trickbot y seguidamente su ejecución.
- Etiquetas