TrickBot Malware obtiene la función de kit de arranque UEFI/BIOS para permanecer sin ser detectado

TrickBot, una de las redes de bots de malware más notorias y adaptables del mundo, está ampliando su conjunto de herramientas para centrarse en las vulnerabilidades del firmware para implementar potencialmente bootkits y tomar el control total de un sistema infectado. La nueva funcionalidad, denominada “TrickBoot” por Advanced Intelligence (AdvIntel) y Eclypsium, hace uso de […]

TrickBot, una de las redes de bots de malware más notorias y adaptables del mundo, está ampliando su conjunto de herramientas para centrarse en las vulnerabilidades del firmware para implementar potencialmente bootkits y tomar el control total de un sistema infectado.

La nueva funcionalidad, denominada “TrickBoot” por Advanced Intelligence (AdvIntel) y Eclypsium, hace uso de herramientas fácilmente disponibles para verificar dispositivos en busca de vulnerabilidades conocidas que pueden permitir a los atacantes inyectar código malicioso en el firmware UEFI / BIOS de un dispositivo, otorgando los atacantes un mecanismo eficaz de almacenamiento de malware persistente.

“Esto marca un paso significativo en la evolución de TrickBot, ya que los implantes de nivel UEFI son la forma más profunda, poderosa y sigilosa de bootkits”, dijeron los investigadores.

“Al agregar la capacidad de examinar los dispositivos de las víctimas en busca de vulnerabilidades de firmware UEFI / BIOS específicas, los actores de TrickBot pueden apuntar a víctimas específicas con persistencia a nivel de firmware que sobrevive a la re-creación de imágenes o incluso a la capacidad de creación de bloques de dispositivos”.

UEFI es una interfaz de firmware y un reemplazo de BIOS que mejora la seguridad, asegurando que ningún malware haya alterado el proceso de arranque. Debido a que UEFI facilita la carga del sistema operativo en sí, tales infecciones son resistentes a la reinstalación del sistema operativo o al reemplazo del disco duro.

TrickBot surgió en 2016 como un troyano bancario, pero desde entonces se ha convertido en un malware como servicio (MaaS) multipropósito que infecta los sistemas con otras cargas útiles maliciosas diseñadas para robar credenciales, correo electrónico, datos financieros y propagar ransomware de cifrado de archivos. como Conti y Ryuk.

Su modularidad y versatilidad la han convertido en una herramienta ideal para un conjunto diverso de actores de amenazas a pesar de los intentos de los proveedores cibernéticos de derribar la infraestructura . También se ha observado junto con las campañas de Emotet para implementar Ryuk ransomware.

“Su cadena de ataque más común comienza en gran medida a través de campañas de malspam Emotet, que luego carga TrickBot y / u otros cargadores, y se mueve a herramientas de ataque como PowerShell Empire o Cobalt Strike para lograr objetivos relacionados con la organización víctima bajo ataque”, dijeron los investigadores. “A menudo, al final de la cadena de eliminación, se implementa el ransomware Conti o Ryuk”.

Hasta la fecha, la botnet ha infectado a más de un millón de computadoras, según Microsoft y sus socios en Symantec, ESET, FS-ISAC y Lumen.