Troyano TrickBot: Ataques y defensas


El troyano bancario TrickBot es un troyano que parece estar de moda últimamente. Como no podía ser menos, desde bugFraud, nuestra solución antifraude, también nos lo hemos encontrado en nuestros clientes.

Este troyano bancario continua bastante activo en Internet a día de hoy.

TrickBot Malware pertenece a la familia de Dyre ya que, tras analizarlo, comprobamos que comparte bastantes características de diseño y arquitectura, tales como el esquema de WebInjects o los propios WebInjects utilizados contra los bancos.

Desde este verano de 2017, los objetivos más deseados por el malware han sido bancos de los países nórdicos, España, USA. Por otro lado, en estos momentos observamos que está afectando a diferentes países de LATAM.

TrickBot afecta a sus víctimas de 2 maneras diferentes: Webfakes y WebInjects.

 

WebFakes

Es una técnica que redirige a una víctima a un servidor malicioso controlado por el atacante cuando ésta intenta acceder a una página de banca online.

El cliente en ningún momento interactúa con la página real de su entidad bancaria, sino que interactúa con una copia muy similar a la real. El atacante se hace así con el control de su cuenta, y por si fuera poco, aprovecha también para pedirle información adicional que le pueda ser de utilidad en un futuro o para vender en el mercado negro.

La única petición real al servidor de su entidad es la que permite al cliente ver en su pantalla el candado de seguridad que le “demuestra” de que es una conexión segura a su banca online. De esta manera, la víctima, no sospecha al ver el certificado.

La detección de este tipo de ataques desde el lado del servidor es complicada y entre las diferentes soluciones que se puede ofrecer están las siguiente:

  • Detección en el log de servidor de peticiones incompletas. Por ejemplo, que se pida un certificado SSL y el cliente no haya realizado una descarga del contenido y los recursos de la web.
  • Inyección de código en la página del banco que avise de su ejecución desde un sitio externo y que, pasando desapercibido, sea incluido en la copia del sitio fraudulento.
  • Soluciones de biometría para cuando haya un intento de robo de cuenta, se detecte que no es el usuario real el que está entrando en el sistema.

Por supuesto, de todas las posibilidades, desde bugFraud consideramos que la biometría es la más adecuada ya que es una medida que no puede ser detectada ni replicada fácilmente por un ciber-criminal. El resto de técnicas pueden ser detectadas y alteradas por el ciber-criminal de una manera más sencilla.

El sistema de biometría de bugFraud detecta el intento de utilización de las credenciales por parte del atacante y es capaz de frenar o avisar el uso inadecuado de la cuenta de cualquier cliente.

 

WebInjects

Estos ataques consisten en la modificación de las páginas web para permitir al atacante diversas acciones tales como recolectar credenciales, recuperar información específica de una víctima o incluso realizar transferencias a cuentas de mulas.

La modificación se realiza en el código cliente que interpreta el navegador, por ejemplo, modificado el HTML o el JS.

Existen varios enfoques a la hora de hacer la inyección:

  • Client Side Injections: estos ataques comenzaron a realizarse desde la parte de la víctima, descargando un fichero de configuración desde un servidor malicioso con todas las inyecciones y las diferentes afectaciones a entidades.
  • Server Side Injections: actualmente, TrickBot realiza un tipo de ataque en el cual cuando el usuario se conecta a una determinada página de la entidad bancaria, lo detecta, envía la respuesta a un servidor del atacante y devuelve la respuesta original del banco junto con la inyección maliciosa.

A continuación, se muestra una de las últimas inyecciones detectadas por nuestro equipo de expertos en fraude en banca online y la similitud existente entre dos inyecciones que afectan a diferentes bancos. Una muestra fue detectada en 2015 y fue generada por Dyre y la muestra reciente analizada de TrickBot.

diff1.png

Dyre (2015)

 

diff2.png

TrickBot (2017)

 

En la inyección específica analizada se almacena el “document.referrer” en una cookie “tknz_referrer” y en una variable, junto al título de la ventana. Posteriormente utiliza un formulario para que la víctima introduzca sus credenciales.

Finalmente, toda la información es enviada al panel de control (C&C) del ciber-criminal.

Este tipo de ataque lo detectamos a través de bugFraud, dado que somos capaces de detectarlos de manera activa cuando el usuario está siendo afectado en tiempo real.  Sin embargo, las entidades bancarias también podrían detectar este ataque por el uso de una determinada cookie. Aunque en cualquier momento, el defraudador podría hacer la cookie dinámica, cambiarla o eliminarla.

 

Para ampliar la información:

Introducing TrickBot, Dyreza’s successor

TrickBot Takes to Latin America, Continues to Expand Its Global Reach

Trickbot Rapidly Expands its Targets in August, Shifting Focus to US Banks and Credit Card Companies

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
Te recomendamos que leas...

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo