Los investigadores de Dell Secureworks vieron una nueva característica en TrickBot que le permite alterar las sesiones web de los usuarios que tienen ciertos operadores de telefonía móvil. Según una publicación de blog que publicaron a principios de la semana pasada, TrickBot puede hacer esto «interceptando el tráfico de la red antes de que sea procesado por el navegador de la víctima».
Si recuerdas, TrickBot, un conocido troyano bancario que detectamos como Trojan.TrickBot , nació de los mismos actores de amenaza detrás de Dyreza , el malware que roba credenciales que nuestro propio investigador Hasherazade diseccionó en 2015 . Secureworks nombró a los desarrolladores detrás de TrickBot como Gold Blackburn.
TrickBot saltó a la fama cuando rivalizó con Emotet y se convirtió en la principal amenaza para las empresas en el último trimestre de 2018.
Antes de dar un paso más en su escala evolutiva, TrickBot ya tiene un impresionante repertorio de características, como una inyección web dinámica que usa contra sitios web de instituciones financieras; un módulo de gusanos ; una técnica de persistencia usando la Tarea Programada de Windows; la capacidad de robar datos de Microsoft Outlook , cookies e historial de navegación; los medios para apuntar a los sistemas de punto de venta (PoS) ; y la capacidad de propagarse a través de mensajes de spam y moverse lateralmente dentro de una red afectada a través del explorador EternalBlue, Eternal Romance o EternalChampion.
Ahora, más recientemente, la misma función de inyección web se usa contra los tres principales operadores de telefonía móvil con sede en los Estados Unidos: Verizon Wireless, T-Mobile y Sprint. El aumento para dar cabida a los ataques contra los usuarios de estas compañías se agregó a TrickBot el 5 de agosto, el 12 de agosto y el 19 de agosto, según Dell Secureworks.
¿Cómo funciona el ataque?
Cuando los usuarios de los sistemas afectados deciden visitar sitios web legítimos de Verizon Wireless, T-Mobile o Sprint, TrickBot intercepta la respuesta de los servidores oficiales y la pasa al servidor de comando y control (C&C) de los actores de la amenaza , iniciando su característica de inyección web dinámica. El servidor de C&C luego inyecta scripts, específicamente, scripts HTML y JavaScript (JS), dentro del navegador web del usuario afectado, alterando en consecuencia lo que el usuario ve y no ve antes de que se muestre la página web. Por ejemplo, ciertos textos, indicadores de advertencia y campos de formulario pueden eliminarse o agregarse, dependiendo de lo que los actores de la amenaza estén tratando de lograr.
Los investigadores de Dell Secureworks pudieron capturar pruebas de ciertos cambios que TrickBot realiza en la página original de los sitios de operadores móviles.
Arriba hay una comparación lado a lado de la página de inicio de sesión de Verizon Wireless antes (imagen de la derecha) y después (imagen de la izquierda) TrickBot manipulado. Además de algunos textos que faltan, observe también nuevos campos agregados, específicamente aquellos que solicitan números PIN.
En el caso de Sprint, el cambio es más sutil y bastante transparente: se muestra un formulario PIN adicional una vez que los usuarios pueden iniciar sesión con éxito con su nombre de usuario y contraseña.
La focalización repentina de los PIN de teléfonos móviles sugiere que los agentes de amenaza utilizando TrickBot están mostrando interés en involucrarse con ciertas tácticas de fraude como el fraude puerto de salida y de intercambio de SIM , según los investigadores.
Un fraude de transferencia ocurre cuando los actores de amenazas llaman al operador de telefonía móvil de su objetivo para solicitar que el número del objetivo sea cambiado o transferido a un nuevo proveedor de red. El intercambio de SIM o el secuestro de SIM funciona de manera similar, pero en lugar de cambiar a un nuevo proveedor, el actor de amenaza solicita una nueva tarjeta SIM al proveedor que puede poner en su propio dispositivo.
Esto provocará que todas las llamadas, MMS y SMS supuestamente se envíen al actor de la amenaza. Y si su objetivo es utilizar la autenticación de dos factores basada en texto (2FA) en sus cuentas en línea, el actor de la amenaza puede interceptar fácilmente los mensajes generados por la compañía para obtener acceso a esas cuentas. Esto da como resultado un fraude de adquisición de cuenta (ATO).
Tal estafa generalmente se realiza cuando los actores de amenazas ya se han apoderado de las credenciales de su objetivo y desean evadir 2FA.
¿Cómo protegerse de TrickBot?
Para no reinventar la rueda, le rogamos, querido lector, que regrese y revise nuestra publicación titulada TrickBot que se hace cargo como la principal amenaza comercial en la que describimos los pasos de remediación que las empresas (y los consumidores por igual) pueden seguir. Esta publicación también tiene una sección sobre medidas preventivas, formas en que uno puede disminuir la probabilidad de infección por TrickBot en los puntos finales, comenzando con campañas regulares de educación y sensibilización de los empleados sobre las últimas tácticas y tendencias sobre el panorama de amenazas.
Tenga en cuenta que Malwarebytes detecta y elimina automáticamente TrickBot sin intervención del usuario.
Creo que puedo haber sido víctima de esto. ¿Ahora que?
La mejor acción es llamar a su operador de telefonía móvil para informar el fraude, bloquear su número y considerar solicitar un nuevo número. También puede informar a los estafadores o estafadores a la FTC .
Continúe y cambie las contraseñas de todas sus cuentas en línea que haya vinculado con su número de teléfono.
También puede considerar el uso de métodos de autenticación más fuertes, como el uso de contraseñas de un solo uso (OTP) 2FA (Authy y Google Authenticator) para cuentas que contienen información extremadamente confidencial sobre usted, sus seres queridos y amigos. y su negocio o empleados.
Habilite un PIN en cuentas móviles.
Por último, familiarícese con las formas en que puede limitar la posibilidad de que un puerto salga o que el ataque de intercambio SIM vuelva a ocurrir. WIRED produjo una historia brillante sobre cómo protegerse contra un ataque de intercambio de SIM, mientras que Brian Krebs en KrebsOnSecurity tiene una pieza sobre cómo luchar contra las estafas de puertos
Sobre el autor