TrickBot
¿Qué es TrickBot?
TrickBotTroyano bancario modular y framework de postexplotacion operado por WIZARD SPIDER, que allano el camino al ransomware Ryuk, Conti y Diavol.
TrickBot aparecio en 2016 como sucesor de Dyre y evoluciono rapidamente de troyano bancario a un framework versatil de postexplotacion. Operado por el cluster criminal WIZARD SPIDER, distribuia modulos para robo de credenciales, inyeccion en navegadores, reconocimiento en Active Directory y movimientos laterales via SMB y proxies SOCKS. Fue uno de los principales cargadores de Ryuk, Conti y mas tarde Diavol, y estuvo fuertemente asociado a infecciones de Emotet entre 2018 y 2020. El equipo Defender de Microsoft y el US Cyber Command interrumpieron su infraestructura en octubre de 2020, y las filtraciones de Conti en 2022 mostraron vinculos profundos entre los desarrolladores de TrickBot y la operacion Conti. El codigo dio paso despues a Bumblebee.
● Ejemplos
- 01
TrickBot extrae credenciales de administrador de dominio del portatil de un contable y se las envia a operadores que despliegan Conti.
- 02
Un equipo de respuesta encuentra el modulo pwgrab64 de TrickBot en memoria junto a componentes Ryuk en un controlador de dominio.
● Preguntas frecuentes
¿Qué es TrickBot?
Troyano bancario modular y framework de postexplotacion operado por WIZARD SPIDER, que allano el camino al ransomware Ryuk, Conti y Diavol. Pertenece a la categoría de Malware en ciberseguridad.
¿Qué significa TrickBot?
Troyano bancario modular y framework de postexplotacion operado por WIZARD SPIDER, que allano el camino al ransomware Ryuk, Conti y Diavol.
¿Cómo funciona TrickBot?
TrickBot aparecio en 2016 como sucesor de Dyre y evoluciono rapidamente de troyano bancario a un framework versatil de postexplotacion. Operado por el cluster criminal WIZARD SPIDER, distribuia modulos para robo de credenciales, inyeccion en navegadores, reconocimiento en Active Directory y movimientos laterales via SMB y proxies SOCKS. Fue uno de los principales cargadores de Ryuk, Conti y mas tarde Diavol, y estuvo fuertemente asociado a infecciones de Emotet entre 2018 y 2020. El equipo Defender de Microsoft y el US Cyber Command interrumpieron su infraestructura en octubre de 2020, y las filtraciones de Conti en 2022 mostraron vinculos profundos entre los desarrolladores de TrickBot y la operacion Conti. El codigo dio paso despues a Bumblebee.
¿Cómo defenderse de TrickBot?
Las defensas contra TrickBot combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para TrickBot?
Nombres alternativos comunes: WIZARD SPIDER, TrickLoader.
● Términos relacionados
- malware№ 084
Troyano bancario
Malware diseñado para robar credenciales de banca en línea y autorizar transferencias fraudulentas, normalmente mediante web injects, captura de formularios o superposiciones.
- malware№ 954
Ransomware Ryuk
Familia de ransomware dirigido operada por WIZARD SPIDER desde 2018, que extrajo grandes rescates de empresas, hospitales y administraciones locales mediante intrusiones con TrickBot.
- malware№ 377
Emotet
Troyano bancario modular convertido en loader malware-as-a-service que distribuia ransomware de afiliados y fue desmantelado por las fuerzas del orden internacionales en enero de 2021.
- malware№ 621
Loader
Malware que prepara el entorno y carga cargas posteriores —a menudo directamente en memoria— para la siguiente fase de un ataque.