Trickbot es un malware informático , un troyano para Microsoft Windows y otros sistemas operativos. [1] Su función principal era originalmente el robo de datos bancarios y otras credenciales, pero sus operadores han ampliado sus capacidades para crear un ecosistema de malware modular completo.
Trickbot se informó por primera vez en octubre de 2016. Se propaga mediante métodos que incluyen programas ejecutables, archivos por lotes, phishing por correo electrónico, Google Docs y reclamos falsos de acoso sexual.
El sitio web Bleeping Computer ha seguido la evolución de TrickBot desde su inicio como un troyano bancario. Los artículos cubren su extensión para atacar a PayPal y la gestión de relaciones con clientes comerciales (CRM; junio de 2017), la adición de un componente de gusano que se propaga automáticamente (julio de 2017), coinbase.com, soporte DKIM para eludir los filtros de correo electrónico, robar el historial de problemas de Windows, robar cookies (julio de 2019), apunta a software de seguridad como Microsoft Defender para evitar su detección y eliminación (julio de 2019), roba códigos PIN de Verizon Wireless, T-Mobile y Sprint al inyectar código al acceder a un sitio web (agosto de 2019), roba OpenSSH y Claves OpenVPN (noviembre de 2019), propagar malware a través de una red (enero de 2020), omitir Windows 10 UAC y robar credenciales de Active Directory (enero de 2020), usar correos electrónicos y noticias COVID-19 falsos (desde marzo de 2020), omitir dispositivos móviles Android dos- factor de autenticación , verifica si se está ejecutando en una máquina virtual (por expertos en anti-malware; julio de 2020), infectando sistemas Linux (julio de 2020).
El 27 de septiembre de 2020, los hospitales y los sistemas sanitarios de EE. UU. Fueron cerrados por un ciberataque con el ransomware Ryuk. Se cree que es probable que el troyano Emotet haya iniciado la infección de la botnet enviando archivos adjuntos de correo electrónico maliciosos durante 2020. Después de un tiempo, instalaría TrickBot, que luego proporcionaría acceso a Ryuk.
A pesar de los esfuerzos para extinguir TrickBot, el FBI y otras dos agencias federales estadounidenses advirtieron el 29 de octubre de 2020 que tenían “información creíble de una amenaza creciente e inminente de ciberdelito [ransomware] para los hospitales y proveedores de atención médica de EE. UU.”, Ya que los casos de COVID-19 aumentaban. . Después de los ataques del mes anterior, cinco hospitales habían sido atacados esa semana y cientos más eran objetivos potenciales. Ryuk, sembrado a través de TrickBot, fue el método de ataque.
TrickBot puede proporcionar a otro malware acceso como servicio a los sistemas infectados, incluidos Ryuk (enero de 2019) y el ransomware Conti ; la Emotet el spam troyano es conocido instalar TrickBot (julio de 2020).
En 2021, un investigador de IBM informó que el trickbot se ha mejorado con características como el algoritmo creativo de nomenclatura de mutex y un mecanismo de persistencia actualizado.
