www.onemagazine.es
Trickbot: por qué la nueva ciber amenaza de los bancos puede afectar a tu empresa
Ampliar

Trickbot: por qué la nueva ciber amenaza de los bancos puede afectar a tu empresa

S2 Grupo ha alertado de que sus responsables de Laboratorio de Malware ha detectado un software malicioso, diseñado para bancos pero que por su rápida propagación podría afectar a empresas de todo el mundo. Eso sí, también destacan que sus principales objetivos yhasta el momento han sido Alemania, Nueva Zelanda y Australia.

El Laboratorio de Malware de S2 Grupo ha presentado el I Informe de Malware que, en esta ocasión, se ha centrado en la evolución de Trickbot. Según han explicado expertos de la compañía, se trata de un tipo de virus troyano que se desarrolla a una gran velocidad y que en menos de 6 meses ha llegado a su versión 17. Trickbot se ha convertido en la principal amenaza de ciberseguridad para el sector de la banca ya que roba credenciales y datos bancarios a los usuarios afectados. Este malware se inyecta en el navegador para que una vez el cliente accede a uno de los bancos monitorizados, poder comprometer la seguridad del usuario.

“Si bien es cierto que su principal objetivo y comportamiento se centra en usuarios de banca online, al ser un troyano modular posee capacidades que los atacantes podrían utilizar con otros fines, como la exfiltración de documentos. Esto hace que en poco tiempo Trickbot pueda convertirse en una de las mayores ciberamenazas de los usuarios de la red”, ha afirmado el socio-director de S2 Grupo, José Rosell. “Pensábamos que era un virus que se encontraba en una fase inicial de su desarrollo, pero comprobar cómo evoluciona a un ritmo realmente rápido ha hecho esencial realizar este informe para aportar mayor información sobre sus pautas de comportamiento y contribuir a mejorar la ciberseguridad tanto de las personas como de cualquier tipo de entidad”, ha continuado Miguel A. Juan, socio-director de S2 Grupo.

Principales países afectados por tl Trickbot

En sus primeros movimientos se observó que eran objetivo bancos de Australia, Nueva Zelanda, Alemania, Reino Unido, Canadá, Estados Unidos, Israel e Irlanda. En los últimos meses se está observando cómo progresivamente se va incrementando la lista de países objetivo y cómo van poco a poco modificando el malware para hacerlo más difícil de detectar. Los países desde los que se ha detectado que principalmente opera Trickbot son EEUU (7%), China (5%) y otros países como Zambia (4%), Brasil (4%), India (4%), Malasia (4%), Rumanía (4%) o Ucrania (4%).

¿Las conclusiones del primer informe de Malware de S2 Grupo? "El objetivo de este estudio ha sido analizar el funcionamiento de Trickbot en sus nuevas versiones para conocer su forma de actuar y poder establecer pautas de prevención y desinfección que incrementen la ciberseguridad a nivel mundial", destacan desde la compañía. "Entre las características más llamativas de este malware destaca porque carga el código en el sistema, crea una réplica de sí mismo en un directorio llamado '%APPDATA%', aplica técnicas de persistencia, recopila información sensible del usuario, inyecta código en otras aplicaciones para controlar la información que manejan, exfiltra la información que obtiene a su servidor de mando y control".

Desde S2 Grupo se ha señalado que la principal vía de infección de este tipo de malware se produce al abrir un documento de Word que llega por email o a través de alguna vulnerabilidad aprovechada por un malware Exploit Kit al navegar por la red. Del informe se extrae que una de las principales evoluciones de Trickbot es que si bien en las primeras versiones el loader (programa de cargado del virus) iba marcado con nombres descriptivos, en las últimas versiones ya no lo son, lo que dificulta su identificación por parte de los sistemas de ciberseguridad.

También es reseñable la acción de persistencia de este malware en los sistemas que en un inicio creaba una tarea programa que era lanzada cada minuto para asegurarse que el programa seguía en ejecución, mientras que las últimas versiones a esto se añade que se ejecuta simplemente al iniciar la sesión el usuario. “Comprendiendo su funcionamiento es más sencillo combatirlo y manipular su funcionamiento para evitar que cumpla su cometido. Por eso, en este informe hemos extraído información de gran utilidad que permitirá facilitar su detección, recuperar la información robada y los pasos adecuados para la desinfección del sistema”, ha explicado Rosell.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)
Compartir en Meneame

¿Qué opinas? (Login)
Normas de uso
  • Esta es la opinión de los internautas, no de Onemagazine
  • No está permitido verter comentarios contrarios a la ley o injuriantes.
  • La dirección de email solicitada en ningún caso será utilizada con fines comerciales.
  • Tu dirección de email no será publicada.
  • Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.