La botnet TrickBot ha sobrevivido bajo presión de Microsoft y otros expertos y ahora se ha vuelto actualizado continuando su propagación.

Trickbot es un programa malicioso con capacidades avanzadas y estructura modular, se propaga rápidamente de una computadora a otra en la red e identifica las computadoras infectadas que pertenecen a objetivos de alto perfil.

Además, Trickbot ya está utilizando la funcionalidad de exploits tan poderosos como EternalBlue, robado de la NSA.

Ahora Trickbot tiene un nuevo poder: modificar UEFI/BIOS de la computadora.

Para aquellos que no conocen BIOS o UEFI, este es un software que vincula el firmware de un dispositivo informático a su sistema operativo.

Como el primer software que se ejecuta cuando se enciende casi cualquier máquina moderna. Es el primer eslabón de la cadena de seguridad. Debido a que residen en un chip flash en la placa base, las infecciones son increíblemente difíciles de detectar y eliminar.

Incluso una reinstalación completa de los sistemas operativos no le ayudará de ninguna manera.

Con esta funcionalidad Trickbot puede bloquear dispositivos de forma remota a nivel de firmware, evitar muchos sistemas de seguridad y cifrado, realizar actualizaciones de firmware y aprovechar las vulnerabilidades del procesador.

TrickBot Malware

Trickbot ya está siendo aclamado por los expertos en seguridad como el nuevo malware principal y una de las amenazas más peligrosas en Internet.

Los operadores de Trickbot, a su vez, venden el acceso a una gran cantidad de máquinas infectadas a otros delincuentes que utilizan la botnet para propagar troyanos bancarios, ransomware y una gran cantidad de otros programas maliciosos.

Para protección, debe activar la función de prohibir la capacidad de escribir en el chip Flash de acuerdo con su dispositivo.

Afortunadamente, por ahora, el nuevo módulo TrickBot solo verifica el controlador SPI para ver si la protección del BIOS está habilitada. De hecho no realiza ningún cambio en el firmware. “Sin embargo, el malware ya contiene código para leer, escribir y borrar el firmware”, enfatizan los expertos.

“Bomba” de tiempo

Aunque la peligrosa funcionalidad aún no es completamente funcional, la mera presencia de este código en TrickBot implica que sus creadores planean usarlo de alguna manera. Por ejemplo, los operadores de TrickBot podrán mantener un acceso más confiable a las redes de las grandes corporaciones, o utilizar el nuevo módulo en ataques de ransomware, con la propagación del que TrickBot suele estar asociado. Entonces, si los representantes de la empresa afectada se niegan a pagar, el módulo TrickBot puede usarse para destruir los sistemas de la víctima.

TrickBot Malware y otras herramientas parecidad
Vaya mezcla

El módulo también puede ser usado para evitar que los expertos en respuesta a incidentes recopilen evidencia importante de ataques (simplemente limitando la capacidad de arranque del sistema).

Las posibilidades son casi infinitas“, resumen Advanced Intelligence y Eclypsium.

Según Eclypsium, los autores de TrickBot no desarrollaron este código desde cero. El análisis mostró que los delincuentes adaptaron el código disponible públicamente para sus propósitos:

“Específicamente, TrickBot usa el controlador RwDrv.sys de la popular herramienta RWEverything para comunicarse con el controlador SPI, verificar si el Registro de control del BIOS está desbloqueado y si se pueden realizar cambios en el área del BIOS”, escriben los expertos.