La compañía de seguridad informática, ESET, participó en el análisis técnico y proporcionó información estadística y nombres de dominio e IP conocidos de los servidores de mando y control
La operación, coordinada entre, ESET, Microsoft, el centro de investigación Black Lotus Labs de Lumen y NTT, entre otros, consiguió desactivar los servidores de mando y control de Trickbot. ESET participó en el análisis técnico, proporcionando información estadística y nombres de dominio e IP conocidos de los servidores de mando y control.
Trickbot es una botnet conocida por robar credenciales en computadoras comprometidas; pero en los últimos tiempos también llevó adelante ataques más dañinos, como los protagonizados por ransomware.
ESET lleva siguiendo las actividades de Trickbot desde su detección a finales de 2016. Solo en 2020, la plataforma de seguimiento de ESET analizó más de 125.000 muestras maliciosas y descargó y descifró más de 40.000 archivos utilizados por los diferentes módulos de Trickbot. Esto permitió a la compañía tener una visión excelente de los servidores de mando y control usados por esta botnet.
“A lo largo de todo este tiempo, se ha observado cómo Trickbot comprometía dispositivos de una manera estable, convirtiéndola en una de las botnets más longevas”, explica Jean-Ian Boutin, responsable de investigación de amenazas en ESET.
Uno de los complementos más antiguos desarrollados para la plataforma permitía a Trickbot utilizar ataques de inyección web; una técnica que permite al malware realizar cambios de forma dinámica en algunas páginas específicas que la víctima visite.
Lo que hace que Trickbot sea tan versátil es que sus funcionalidades se pueden ampliar enormemente con plugins. A lo largo del seguimiento, ESET recopiló y analizó 28 plugins diferentes. Algunos destinados a recopilar contraseñas de navegadores, clientes de correo electrónico y una variedad de aplicaciones.
