Trickbot no es una nueva amenaza, pero está evolucionando. El último giro del troyano bancario es la incorporación de nuevos métodos para no solo evadir, sino también deshabilitar la protección de seguridad de Windows Defender.
Como se informó el 14 de julio en Forbes, Trickbot es un troyano bancario particularmente sigiloso que existe desde 2016. Desde entonces, se pensó que había comprometido no menos de 250 millones de cuentas de correo electrónico en un esfuerzo por distribuir la carga útil del malware. Esa carga incluye el robo de credenciales bancarias en línea y billeteras de criptomonedas.
Microsoft siempre ha estado al frente y al centro en lo que respecta a las campañas de ataque de Trickbot, con los archivos de Word y Excel armados como un enfoque preferido. La última campaña está dirigida a usuarios de Windows 10 e implementa una página de Office 365 altamente detallada y convincente, pero falsa, para solicitar actualizaciones del navegador que instalen el troyano.
Deshabilitar Windows Defender
Pero lo realmente sigiloso, y lo que marca a Trickbot como uno de los troyanos más peligrosos en la naturaleza en este momento, es cómo se dirige a los usuarios de Windows 10 que confían en Windows Defender para proteger sus máquinas de las amenazas de malware.
Sin embargo, Trickbot va más allá del malware y no solo detecta Windows Defender, sino que emplea no menos de 17 pasos en un intento de desactivarlo por completo.
El siempre confiable Bleeping Computer informa que una vez ejecutado, Trickbot intenta deshabilitar y eliminar el servicio WinDefend, finalizar los procesos asociados con Windows Defender, agregar una política de Windows para deshabilitar Windows Defender, deshabilitar la protección en tiempo real de Windows Defender y deshabilitar las notificaciones de seguridad.
El informe de Bleeping Computer revela que los investigadores MalwareHunterTeam y Vitali Kremez aplicaron ingeniería inversa a una variante Trickbot recientemente descubierta y descubrieron que había agregado una docena más de métodos al arsenal de ataque. «Estos métodos utilizan la configuración del Registro o el comando Set-MpPreference PowerShell para establecer las preferencias de Windows Defender», informa Bleeping Computer.
¿Se puede detener Trickbot?
John Opdenakker, un hacker ético, dice que las mejores prácticas generales, como bloquear el acceso al Registro de Windows y garantizar que los usuarios no tengan derechos de administrador por defecto, son buenos consejos de mitigación. Sin embargo, «depende de cuán avanzado esté el malware en particular», agrega Opdenakker, «y Trickbot parece realizar elevación para obtener mayores privilegios del sistema una vez ejecutado».
Luego está AppLocker, algo que está incluido en Windows 10 pero que rara vez parece ser implementado por el usuario promedio.
De acuerdo con la documentación oficial de Microsoft , «AppLocker lo ayuda a controlar qué aplicaciones y archivos pueden ejecutar los usuarios. Estos incluyen archivos ejecutables, scripts, archivos de Windows Installer, bibliotecas de vínculos dinámicos (DLL), aplicaciones empaquetadas e instaladores de aplicaciones empaquetadas».
Ian Thornton-Trump, jefe de seguridad cibernética de Amtrust International, dice que teniendo en cuenta que AppLocker está instalado y disponible, «simplemente no entiendo por qué más personas no lo usan para permitir que solo el software autorizado se ejecute en puntos finales».
Como señala Thornton-Trump, la regla general cuando se trata de proteger sus sistemas es «¿por qué hacerlo fácil?» y concluye «después de todo, si puedes cargar una fuente, entonces puedes cargar un exploit».
Vitali Kremez, uno de los investigadores responsables de la ingeniería inversa de Trickbot, confirma que es efectivo deshabilitando Windows Defender. Sin embargo, Kremez también me dice que «en realidad no elude la protección contra manipulaciones en Windows 10», lo que significa que mientras esto no se haya deshabilitado, «los usuarios de Windows 10 deberían estar relativamente seguros de que su Windows Defender esté deshabilitado».
Kremez advierte que «TrickBot tiene más medios y métodos de persistencia para no ser detectados», por lo que esto no debería verse como un paso para los usuarios de Windows 10. Aquellos que han deshabilitado la protección contra manipulaciones, posiblemente para evitar conflictos con una aplicación de seguridad de terceros, ciertamente están en riesgo.