Trickbot vuelve con la verificación de resolución para evadir la detección

Los operadores de TrickBot están intentando evadir la detección y el análisis comprobando la resolución de pantalla del sistema de la víctima. Hace apenas un año, la pandilla TrickBot había agregado una nueva función a su malware que terminaba las cadenas de infección si se detectaban resoluciones de pantalla no estándar en los dispositivos. Recientemente, […]

Los operadores de TrickBot están intentando evadir la detección y el análisis comprobando la resolución de pantalla del sistema de la víctima.

Hace apenas un año, la pandilla TrickBot había agregado una nueva función a su malware que terminaba las cadenas de infección si se detectaban resoluciones de pantalla no estándar en los dispositivos.

Recientemente, un cazador de amenazas y miembro del grupo de seguridad Cryptolaemus descubrió un archivo adjunto HTML que contenía una alerta de compra segura falsa.

El correo electrónico -no deseado- descarga un archivo ZIP para un sistema físico y redirige a las víctimas al sitio web de American Broadcasting Company (ABC) en un entorno virtual.

El script distingue entre ellos al verificar si el navegador web usa un renderizador de software como SwiftShader, VirtualBox o LLVMpipe, lo que generalmente implica el uso de una máquina virtual. Además, el script verifica la profundidad, altura y ancho del color de una pantalla.

Según los investigadores, es la primera vez que una pandilla utiliza un script en un archivo adjunto HTML para verificar la resolución de la pantalla.

Al abrir el archivo adjunto del correo electrónico, que se produce en el navegador web predeterminado, se inicia el archivo HTML de la campaña.

Se muestra un mensaje pidiendo a los usuarios que esperen mientras se carga el documento. Luego solicita una contraseña para acceder.
En la máquina de un usuario normal, la cadena de infección comienza justo después de la descarga de un archivo ZIP que contiene el ejecutable TrickBot.

La descarga de malware de esta manera se denomina contrabando de HTML, que evita los filtros de contenido del navegador y filtra archivos maliciosos en un sistema comprometido al incluir código JavaScript codificado en un archivo HTML, que es nuevo.