Microsoft ha revelado cómo la red de bots del troyano Trickbot ha estado utilizando routers MikroTik comprometidos para comunicarse de forma sigilosa con los PCs infectados.
Trickbot, conocido por robar credenciales bancarias y distribuir ransomware, parecía imparable. Siguió prosperando a pesar de un esfuerzo liderado por Microsoft en 2020 para parchear millones de PCs infectados y derribar la mayoría de sus servidores de comando y control (C2), con la excepción de sus dispositivos C2 del Internet de las Cosas (IoT), hasta que finalmente se cerró a principios de este año.
Ahora, Microsoft ha completado un detalle sobre cómo los dispositivos IoT C2 de la banda TrickBot, concretamente los routers MikroTik comprometidos, estaban siendo utilizados desde 2018 para la comunicación sigilosa con los PCs infectados.
Ya en 2018, cuando muchos hackers se dirigían al CVE-2018-14847 en el software RouterOS de MikroTik, los investigadores de seguridad descubrieron que Tickbot estaba utilizando routers MikroTik comprometidos para la infraestructura C2.
Los routers son una herramienta C2 muy útil, ya que permiten la comunicación entre el C2 y los PC infectados por Tickbot de una manera que las defensas estándar no pueden detectar. Los investigadores de seguridad de Microsoft afirman que ahora han aclarado exactamente cómo se utilizaban los dispositivos en su infraestructura.
Tras obtener el control del router mediante una contraseña comprometida, Trickbot utilizó el shell SSH de RouterOS para crear un conjunto de comandos que RouterOS entiende pero que no tienen sentido en los shells normales basados en Linux. SSH está pensado para permitir comunicaciones de red seguras a través de una red no segura. El objetivo final era redirigir el tráfico del router comprometido.
Este comando creaba una nueva regla de red que redirigía el tráfico del dispositivo infectado a un servidor y el tráfico redirigido se recibía desde el puerto 449 y se redirigía al puerto 80, explica Microsoft.
A pesar de la notoriedad y la durabilidad de Trickbot, los investigadores de Intel 471, que participó en el desmantelamiento de 2020, dijeron que en febrero de este año el malware Trickbot estaba en las últimas, con los antiguos desarrolladores pasando a nuevos malware como BazarLoader y la banda de ransomware Conti.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian