Troyano TrickBot: Ataques y defensas

Publicado por David García - 30/10/2017

TrickBot es un troyano que parece estar de moda últimamente. Como no podía ser menos, desde bugFraud, nuestra solución antifraude, también nos lo hemos encontrado en nuestros clientes.

Este troyano bancario continua bastante activo en Internet a día de hoy.

TrickBot Malware pertenece a la familia de Dyre ya que, tras analizarlo, comprobamos que comparte bastantes características de diseño y arquitectura, tales como el esquema de WebInjects o los propios WebInjects utilizados contra los bancos.

Desde este verano de 2017, los objetivos más deseados por el malware han sido bancos de los países nórdicos, España, USA. Por otro lado, en estos momentos observamos que está afectando a diferentes países de LATAM.

TrickBot afecta a sus víctimas de 2 maneras diferentes: Webfakes y WebInjects.

 

WebFakes

Es una técnica que redirige a una víctima a un servidor malicioso controlado por el atacante cuando ésta intenta acceder a una página de banca online.

El cliente en ningún momento interactúa con la página real de su entidad bancaria, sino que interactúa con una copia muy similar a la real. El atacante se hace así con el control de su cuenta, y por si fuera poco, aprovecha también para pedirle información adicional que le pueda ser de utilidad en un futuro o para vender en el mercado negro.

La única petición real al servidor de su entidad es la que permite al cliente ver en su pantalla el candado de seguridad que le “demuestra” de que es una conexión segura a su banca online. De esta manera, la víctima, no sospecha al ver el certificado.

La detección de este tipo de ataques desde el lado del servidor es complicada y entre las diferentes soluciones que se puede ofrecer están las siguiente:

  • Detección en el log de servidor de peticiones incompletas. Por ejemplo, que se pida un certificado SSL y el cliente no haya realizado una descarga del contenido y los recursos de la web.
  • Inyección de código en la página del banco que avise de su ejecución desde un sitio externo y que, pasando desapercibido, sea incluido en la copia del sitio fraudulento.
  • Soluciones de biometría para cuando haya un intento de robo de cuenta, se detecte que no es el usuario real el que está entrando en el sistema.

Por supuesto, de todas las posibilidades, desde bugFraud consideramos que la biometría es la más adecuada ya que es una medida que no puede ser detectada ni replicada fácilmente por un ciber-criminal. El resto de técnicas pueden ser detectadas y alteradas por el ciber-criminal de una manera más sencilla.

El sistema de biometría de bugFraud detecta el intento de utilización de las credenciales por parte del atacante y es capaz de frenar o avisar el uso inadecuado de la cuenta de cualquier cliente.

 

WebInjects

Estos ataques consisten en la modificación de las páginas web para permitir al atacante diversas acciones tales como recolectar credenciales, recuperar información específica de una víctima o incluso realizar transferencias a cuentas de mulas.

La modificación se realiza en el código cliente que interpreta el navegador, por ejemplo, modificado el HTML o el JS.

Existen varios enfoques a la hora de hacer la inyección:

  • Client Side Injections: estos ataques comenzaron a realizarse desde la parte de la víctima, descargando un fichero de configuración desde un servidor malicioso con todas las inyecciones y las diferentes afectaciones a entidades.
  • Server Side Injections: actualmente, TrickBot realiza un tipo de ataque en el cual cuando el usuario se conecta a una determinada página de la entidad bancaria, lo detecta, envía la respuesta a un servidor del atacante y devuelve la respuesta original del banco junto con la inyección maliciosa.

A continuación, se muestra una de las últimas inyecciones detectadas por nuestro equipo de expertos en fraude en banca online y la similitud existente entre dos inyecciones que afectan a diferentes bancos. Una muestra fue detectada en 2015 y fue generada por Dyre y la muestra reciente analizada de TrickBot.

diff1.png

Dyre (2015)

 

diff2.png

TrickBot (2017)

En la inyección específica analizada se almacena el “document.referrer” en una cookie “tknz_referrer” y en una variable, junto al título de la ventana. Posteriormente utiliza un formulario para que la víctima introduzca sus credenciales.

Finalmente, toda la información es enviada al panel de control (C&C) del ciber-criminal.

Este tipo de ataque lo detectamos a través de bugFraud, dado que somos capaces de detectarlos de manera activa cuando el usuario está siendo afectado en tiempo real.  Sin embargo, las entidades bancarias también podrían detectar este ataque por el uso de una determinada cookie. Aunque en cualquier momento, el defraudador podría hacer la cookie dinámica, cambiarla o eliminarla.

 

Para ampliar la información:

https://blog.malwarebytes.com/threat-analysis/2016/10/trick-bot-dyrezas-successor/

https://securityintelligence.com/trickbot-takes-to-latin-america-continues-to-expand-its-global-reach/

https://f5.com/labs/articles/threat-intelligence/malware/trickbot-rapidly-expands-its-targets-in-august-shifting-focus-to-us-banks-and-credit-card-companies

 

Temas: troyano bancario

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Las Fintech también en el radar del malware

read more

Analizando un Malware Bancario Biométrico: Camubot

read more

Mensajes subliminares. El Phishing del futuro.

read more