{"id":26285,"date":"2021-10-26T13:24:40","date_gmt":"2021-10-26T11:24:40","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26285"},"modified":"2021-10-26T17:51:39","modified_gmt":"2021-10-26T15:51:39","slug":"trickbot-new-tricks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/trickbot-new-tricks\/26285\/","title":{"rendered":"Los nuevos trucos del troyano Trickbot"},"content":{"rendered":"<p>Hace exactamente cinco a\u00f1os, en octubre del 2016, nuestras soluciones encontraron por primera vez un troyano llamado Trickbot (tambi\u00e9n conocido como TrickLoader o Trickster). Por aquel entonces, se encontraba principalmente en los ordenadores dom\u00e9sticos y su tarea principal era robar las credenciales de inicio de sesi\u00f3n para los servicios de banca <em>online<\/em>. Sin embargo, en los \u00faltimos a\u00f1os, sus creadores han transformado de forma activa el troyano bancario en una herramienta modular multifuncional.<\/p>\n<p>Adem\u00e1s, Trickbot ahora es popular entre los grupos de ciberdelincuentes como un veh\u00edculo de entrega para inyectar <em>malware<\/em> de terceros en la infraestructura corporativa. Los <a href=\"https:\/\/threatpost.com\/trickbot-cybercrime-elite-affiliates\/175510\/\" target=\"_blank\" rel=\"noopener nofollow\">medios<\/a> ya se han hecho eco de que los autores de Trickbot se han aliado con varios socios nuevos con el fin de utilizar el <em>malware<\/em> para infectar la infraestructura corporativa con todo tipo de amenazas adicionales, como el <em>ransomware<\/em> Conti.<\/p>\n<p>Este cambio de uso podr\u00eda representar un peligro adicional para los empleados de los centros de operaci\u00f3n de seguridad y otros expertos en ciberseguridad. Algunas soluciones de seguridad a\u00fan reconocen Trickbot como un troyano bancario, de acuerdo con su especialidad original. Por lo tanto, los especialistas en ciberseguridad que lo detecten podr\u00edan verlo como una amenaza aleatoria al usuario dom\u00e9stico que por accidente ha ca\u00eddo en la red corporativa. De hecho, su presencia podr\u00eda indicar algo mucho m\u00e1s serio: un intento de inyecci\u00f3n de <em>ransomware<\/em> o incluso parte de una operaci\u00f3n de ciberespionaje dirigido.<\/p>\n<p>Nuestros expertos pudieron descargar m\u00f3dulos del troyano de uno de sus servidores de mando y control y los analizaron a fondo.<\/p>\n<h2>Las funciones de Trickbot<\/h2>\n<p>El objetivo principal del actual Trickbot es penetrar y propagarse en las redes locales. Sus operadores pueden utilizarlo para varias tareas, desde revender los accesos a la infraestructura corporativa a otros atacantes, hasta robar informaci\u00f3n confidencial. Todo esto es lo que el <em>malware<\/em> puede hacer:<\/p>\n<ul>\n<li>Recopilar nombres de usuario, <em>hashes<\/em> para contrase\u00f1as y otra informaci\u00f3n \u00fatil para el movimiento lateral en la red desde el Active Directory y el registro.<\/li>\n<li>Interceptar el tr\u00e1fico de Internet en el ordenador infectado.<\/li>\n<li>Proporcionar control remoto de dispositivos mediante el protocolo VNC.<\/li>\n<li>Robar <em>cookies<\/em> de los navegadores.<\/li>\n<li>Extraer las credenciales de inicio de sesi\u00f3n desde el registro, las bases de datos de varias aplicaciones y los archivos de configuraci\u00f3n, as\u00ed como robar claves privadas, certificados SSL y archivos de datos para monederos de criptomoneda.<\/li>\n<li>Interceptar datos de autorrelleno desde los navegadores y la informaci\u00f3n que los usuarios introducen en los formularios de los sitios web.<\/li>\n<li>Escanear los archivos en los servidores FTP y SFTP.<\/li>\n<li>Incrustar <em>scripts<\/em> maliciosos en p\u00e1ginas web.<\/li>\n<li>Redirigir el tr\u00e1fico del navegador a trav\u00e9s de un proxy local.<\/li>\n<li>Secuestrar la API responsable de la verificaci\u00f3n de la cadena del certificado para falsificar los resultados de la verificaci\u00f3n.<\/li>\n<li>Recopilar credenciales del perfil de Outlook, interceptar correos electr\u00f3nicos y enviar <em>spam<\/em> mediante ellos.<\/li>\n<li>Buscar el servicio OWA y entrar a la fuerza.<\/li>\n<li>Obtener acceso de bajo nivel al <em>hardware<\/em>.<\/li>\n<li>Proporcionar acceso al ordenador a nivel de <em>hardware<\/em>.<\/li>\n<li>Escanear los dominios para vulnerabilidades.<\/li>\n<li>Encontrar direcciones de servidores SQL y ejecutar consultas de b\u00fasqueda en ellos.<\/li>\n<li>Esparcirse mediante los <em>exploits<\/em> EternalRomance y EternalBlue.<\/li>\n<li>Crear conexiones VPN.<\/li>\n<\/ul>\n<p>Para una descripci\u00f3n detallada de los m\u00f3dulos e indicadores de compromiso, visita nuestra <a href=\"https:\/\/securelist.lat\/trickbot-module-descriptions\/95675\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n de Securelist<\/a>.<\/p>\n<h2>C\u00f3mo protegerse contra el troyano Trickbot<\/h2>\n<p>La estad\u00edstica muestra que la mayor\u00eda de las detecciones de Trickbot de este a\u00f1o se han registrado en los Estados Unidos, Australia, China, M\u00e9xico y Francia. Sin embargo, esto no significa que el resto de las regiones est\u00e9n a salvo, sobre todo si tenemos en cuenta la disponibilidad de sus creadores para colaborar con otros ciberdelincuentes.<\/p>\n<p>Para evitar que tu empresa caiga en las garras de este troyano, te recomendamos que equipes todos los dispositivos con acceso a Internet con una <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n de seguridad de alta calidad<\/a>. Adem\u00e1s, siempre es una buena idea utilizar <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/managed-detection-and-response?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">servicios de supervisi\u00f3n de ciberamenazas<\/a> para detectar actividad sospechosa en la infraestructura de la empresa.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>En los \u00faltimos cinco a\u00f1os, el troyano bancario Trickbot ha evolucionado hasta convertirse en una herramienta multifuncional para los ciberdelincuentes.<\/p>\n","protected":false},"author":2581,"featured_media":26286,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[2896,401,676,586],"class_list":{"0":"post-26285","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ciberespionaje","11":"tag-ransomware","12":"tag-troyano-bancario","13":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trickbot-new-tricks\/26285\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trickbot-new-tricks\/23505\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trickbot-new-tricks\/18989\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/trickbot-new-tricks\/25590\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trickbot-new-tricks\/23654\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trickbot-new-tricks\/23134\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trickbot-new-tricks\/25818\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trickbot-new-tricks\/31757\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trickbot-new-tricks\/10184\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trickbot-new-tricks\/42622\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trickbot-new-tricks\/17922\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trickbot-new-tricks\/18323\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/trickbot-new-tricks\/15426\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trickbot-new-tricks\/27612\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/trickbot-new-tricks\/31837\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/trickbot-new-tricks\/27745\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trickbot-new-tricks\/24497\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trickbot-new-tricks\/29857\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trickbot-new-tricks\/29659\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/troyanos\/","name":"troyanos"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=26285"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26285\/revisions"}],"predecessor-version":[{"id":26329,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26285\/revisions\/26329"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/26286"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=26285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=26285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=26285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}