CSIRT Asobancaria

Nuevos indicadores de compromiso asociados a Trickbot

  • Publicado: 05/01/2021
  • Importancia: Media

Recursos afectados

Desde su primera detección en 2016, se han identificado múltiples métodos de propagación de esta amenaza, como ser dropeado en sistemas previamente infectados por Emotet. La arquitectura modular que posee este troyano le permite realizar una amplia gama de acciones como ser utilizado para la descarga de otro tipo de ataques más dañinos como ransomware.

 

Uno de los plugins de Trickbot permite utilizar web injects, una técnica que permite al malware cambiar dinámicamente lo que observa un usuario que ya fue comprometido al visitar sitios web específicos. Además, hace poco se evidenció la creación de un nuevo módulo para comprometer los archivos de la UEFI (interfaz unificada de firmware extensible, por sus siglas en inglés) para generar persistencia incluso si se formatea el equipo.

 

Este es un breve resumen realizado por el equipo del Csirt Financiero, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected].

Etiquetas